Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Données personnelles en Europe : sérieux casse-tête à venir pour les entreprises

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur Données personnelles en Europe : sérieux casse-tête à venir pour les entreprises

Les implications de ce texte dans le fonctionnement quotidien de l’entreprise sont profonds et toucheront à son organisation même, en exigeant la mise en oeuvre de processus, de contrôles et de pratiques nouvelles (et, rappelelons-le, il concernera toutes les entreprises européennes)

Certes, les entreprises déjà soumises à PCI-DSS pourront y voir une extension des exigences de PCI aux données à caractère personnel (notamment pour ce qui concerne l’identification des données et les notions de cloisonnement, d’anonymisation et de chiffrement, par exemple). Et puis beaucoup d’entreprises n’ont heureusement pas attendu la Commission Européenne pour mener des analyses de risque et d’impact, y compris sur leurs traitements des données personnelles.

Mais très peu ont déjà mis en place les contrôles et la culture de la trace qui seront exigés par la Commission. Car au delà des nouveaux processus et des nouveaux contrôles, c’est probablement toute une nouvelle culture qu’il faudra bien souvent développer dans l’entreprise : celle du scribe, de la trace, capable de coucher sur papier la preuve d’une conformité de tous les instants et non seulement le jour de l’audit.

Le texte prévoit également en cas de brèche un partage des responsabilités entre l’entreprise et ses sous-traitant (y compris dans le Cloud). Eux aussi devront donc procéder à des analyses de risque, d’impact, et ces résultats devront être pris en compte par le client avant de leur confier des données à caractère personnel.  « De fait, les résultats des analyses d’impact et la sécurité de façon générale devront été intégrés comme un critère quasi-réglementaire, notamment au sein de la direction des Achats. Et le texte permettra de rendre l’entreprise responsable si par exemple ses directions métiers optent pour un prestataire qui n’est pas conforme [en dépit des recommandations de la SSI et de l’analyse de risque, ndlr]. », précise François Coupez.

Selon l’avocat une telle obligation pourrait avoir comme conséquence de forcer les prestataires à revoir leurs paliers de tarification en offrant plusieurs niveaux de sécurité pour une même prestation, et à exclure par contrat le traitement de données à caractère personnel des offres les moins chères. L’entreprise s’engagerait alors à ne pas faire traiter ou héberger de données à caractère personnel dans le cadre de telle ou telle offre inadaptée (et serait responsable du non-respect de ces termes).

Bien entendu, du point de vue de l’entreprise un tel texte a de quoi faire peur : la seule classification des données, sans parler d’assurer une traçabilité de tous les instants, sont des projets majeurs, structurants et onéreux. Quant à l’idée de labéliser des produits, l’expérience de l’ANSSI en la matière montre qu’il s’agit d’une tâche plus ardue et ingrate qu’il n’y parait.

Toutefois les objectifs de ce texte sont louables : il prend en compte les défis actuels (mondialisation, Cloud Computing, droit à l’oubli, Big Data, Data Breach Notifications…) et il le fait de manière parfaitement uniforme en Europe, ce qui met fin au casse-tête des multiples réglementations pas toujours compatibles.

Mais comme tous les grands chantiers historiques, le quotidien promet d’être compliqué durant la phase de transition ! Entreprises, mieux vaut s’y préparer dès aujourd’hui !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.