Abonnez-vous Identifiez-vous

Identifiez-vous

Vos codes d'accès sont erronés, Veuillez les saisir à nouveau. Mot de passe oublié ?

Aux sociétés de sécuriser les données personnelles

Publié le

Un nouveau règlement européen va obliger les entreprises à améliorer leur cyberdéfense sous peine de sanctions.

Aux sociétés de sécuriser les données personnelles © D.R.

Les entreprises citées

En partenariat avec Industrie Explorer

Le Parlement européen va adopter dans les prochains mois un texte visant au respect des droits de "l’homme numérique". Déjà discuté à?Bruxelles depuis 2012, ce texte a pour objet exclusif la protection des données personnelles des habitants de l’Union européenne (UE). Il est présenté au Parlement sous la forme d’un règlement, c’est-à-dire une loi de l’UE applicable sur l’ensemble du territoire (contrairement aux directives qui nécessitent une transposition dans chaque État membre). Le choix d’un tel règlement n’est pas anodin et marque la volonté d’une politique forte en faveur d’un encadrement uniforme et imposé sur la question des données personnelles.

Pour l’entreprise, le texte concerne trois notions incontournables : le big data, le cloud computing et le data breach. S’agissant du cloud computing, l’attention des entreprises se portait, il y a peu encore, sur le risque de perte d’intégrité ou de disparition de leurs données du fait des opérateurs à qui elles sont confiées. Ce sujet a fait l’objet d’une communication autour des infrastructures de cloud dit "souverain" et, dans les contrats, les clauses de "localisation des données" sont devenues un atout marketing important mis en avant par les prestataires.

Data breach, le nouveau fléau

Mais les légitimes préoccupations de localisation masquent un risque plus important : celui du data breach. Il s’agit d’un acte malveillant de pillage des données (dupliquées mais laissées intactes) trop souvent sous-estimé ou mal maîtrisé par les entreprises. Il faut d’emblée souligner que dans les services de cloud computing, le risque lié aux actes malveillants est quasi systématiquement exclu du champ contractuel dans toutes ses conséquences, de telle sorte que lorsqu’un tel événement survient, l’entreprise se trouve presque seule pour en assumer les effets. Ainsi, l’énorme quantité de données traitées par les entreprises devrait mener à une augmentation de la fréquence et du nombre de data breaches.

En 2013, 740 millions de failles de sécurité ont été constatées et 40% des cyberattaques les plus importantes de l’histoire ont eu lieu sur cette seule année, selon le rapport "Data protection & breach readiness guide" de l’association américaine Online Trust Alliance. L’année 2014 ne fera pas mieux, comme en témoigne l’attaque subie par Orange. Personne n’est à l’abri, c’est incontestable. Face à cela, il est indispensable que les entreprises connaissent leurs obligations, les assument et se préparent en conséquence.

Une obligation de notification

Le projet de règlement européen, érige entre autres règles, le "privacy by design". Cette notion un peu abstraite signifie que tous les traitements de données personnelles devront être, par défaut, conçus dans le respect des normes fixées par ledit règlement. Cela impliquera que les données soient sécurisées selon des niveaux adaptés. Si cette obligation n’est pas nouvelle dans le principe, elle devra s’adosser à des normes et être uniformisée en Europe. Au-delà des mesures préventives prévues, mais insuffisantes pour stopper les pirates, le texte s’est penché sur la conduite à suivre concernant une violation effective de données.

Ainsi, les entreprises qui subiront une cyberattaque portant sur des données personnelles (identité, adresse, moyens de paiement…) devront avertir et adresser, en France, une notification détaillée à la Commission nationale de l’informatique et des libertés (Cnil) dans les 24 heures, mais aussi aux personnes concernées sans retard injustifié et le plus vite possible quand l’attaque peut affecter leurs données. Seules les violations d’informations personnelles donneront lieu à cette obligation de notification.

Enfin, le projet de règlement prend en compte le cas de la sous-traitance, c’est-à-dire lorsque le responsable du traitement des données a délégué à un tiers leur gestion. C’est le cas du cloud. Dans ce cas, l’article 31-2 du règlement prévoit que "le sous-traitant alerte et informe le responsable du traitement immédiatement après avoir constaté la violation de données à caractère personnel". Cette obligation sans ambiguïté est le corollaire évident de l’obligation de notification pesant sur le responsable du traitement dans des délais très courts. À défaut, on entrevoit déjà les litiges qui en résulteraient, notamment si la lenteur du sous-traitant devait contribuer à aggraver un dommage qui aurait pu être contenu.

Les entreprises doivent se préparer à assumer de nouvelles responsabilités quant aux données personnelles qu’elles traiteront, mais aussi à mettre à jour leurs rapports contractuels avec leurs prestataires.

L’enjeu

Un règlement européen va imposer aux entreprises la sécurisation des données personnelles qu’elles traitent et l’information des clients en cas de cyberattaque

La mise en Œuvre

Se préparer aux procédures d’information obligatoire des personnes dont les données ont été volées

Revoir les contrats avec les prestataires de service de cloud computing

Réagir à cet article

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte
Suivez-nous Suivre Usine Nouvelle sur Facebook Suivre Usine Nouvelle sur Twitter RSS Usine Nouvelle