Comment le RGDP affecte-t-il votre application infonuagique?
Le RGDP est entré en vigueur le 25 mai dernier. Au tout début, on croyait que cela passerait inaperçu mais les organisations se rendent rapidement compte qu’elles doivent lui faire face et essaient de comprendre la portée de ses implications. Bien que le règlement soit actuellement en vigueur, moins de 10 % des entreprises se disent prêtes pour le RGDP. Les amendes émises pour la non-conformité pouvant aller jusqu’à 20 M€ ou 4 % du revenu total global de l’année précédente (le montant qui s’avère être le plus élevé), il est évident que la conformité au RGDP est impérative. Il semble encore plus évident que l’EU tente de prendre la tête des efforts mondiaux en priorisant la protection de la confidentialité et la sécurité des consommateurs plutôt que des idéaux commerciaux.
Que protège le RGDP ?
Le RGDP protège les renseignements personnels sur le territoire de l’UE. Cela inclut noms, adresses, photos, adresses courriel, données bancaires, renseignements médicaux, publications sur les médias sociaux et même les adresses IP d’ordinateurs. Il définit les termes et établit comment les contrôleurs de données (votre organisation) doivent interagir avec les traiteurs de données (votre fournisseur infonuagique) afin de sécuriser les renseignements personnels des personnes concernées (vos clients) et leur donner le contrôle sur la façon dont les renseignements à propos d’eux sont utilisés.
Les personnes concernées ont le droit d’accéder, de voir, de changer, de limiter et de supprimer tous les renseignements personnels à propos d’eux. Ils doivent donner leur consentement explicite avant que les renseignements ne soient collectés, stockés, traités ou rendus publics ; ils peuvent aussi leur apporter des changements. Les organisations doivent clairement divulguer cette information en tout temps et doivent fournir des copies aux personnes concernées qui en font la demande.
Il y a quelques exceptions. Les droits des personnes concernées sont outrepassés si le traitement des données est nécessaire dans un contrat, pour la conformité à des lois internationales ou à d’autres lois de l’UE, ou pour la protection de l’intérêt public, de l’intérêt vital de la personne ou pour l’exercice de l’autorité publique. Sont exempts du RGDP, les cas où les données sont utilisées pour l’interception légale, pour la sécurité nationale ou la justice, les données concernant les personnes décédées, les données relatives aux relations employeur-employé, les données pour l’analyse scientifique ou de statistiques.
À qui s’applique le RGDP ?
Le RGDP s’applique à toute organisation (qu’elle soit basée sur le territoire Européen ou non) qui collecte ou qui traite des données en Europe ou provenant de résidents ou de visiteurs de l’UE ou qui le fait pour le compte d’une autre organisation. Cela signifie que toute organisation ayant une présence en Europe est tenue de se conformer.
Cela s’applique uniformément à tous les états membres de l’UE et permet aux organisations de mettre en œuvre à travers l’Europe, un seul système de TI. Grâce à cette juridiction partagée, la réglementation relative aux données sera grandement simplifiée. En lui seul, le RGDP est juridiquement contraignant et outrepasse les lois contradictoires des pays non européens, sauf si elles sont basées sur des accords internationaux; les organisations ayant une présence en Europe sont donc forcées de se conformer.
La gestion du RGDP est faite comme suit : tous les états membres de l’UE se voient assigner une autorité de contrôle indépendante pour surveiller les activités pertinentes. Les organisations dont les activités principales impliquent de traiter systématiquement les données personnelles doivent employer un responsable de la protection des données qui gère la conformité et qui rapporte à l’autorité de contrôle, toute brèche, dans les 72 heures.
Comment le RGDP affecte-t-il votre application infonuagique ?
Le RGDP n’est pas granulaire dans sa façon de prescrire des méthodes de gestion des TI ; il présente par contre des principes généraux pour collecter des données et sécuriser les renseignements personnels. La plupart des applications d’aujourd’hui ne sont pas fondamentalement conçues avec une sécurité à toute épreuve et une portabilité complète ; elles se fient plutôt à des fondements solides. Le RGDP est un rappel que les organisations sont responsables de la solidité de ces fondements.
Située au cœur de votre pile technologique, cette responsabilité est distribuée à travers votre infrastructure, votre couche de plateforme applicative et votre couche applicative. Une interaction significative entre les trois couches sous-tendent les pratiques DevOps : un pipeline CI/CD agile et une Infrastructure en tant que Code visible. Le maintien de la capacité de trouver, de récupérer et de supprimer à volonté les renseignements personnels sans affaiblir l’application intégrale demande une bonne visibilité et une grande portabilité.
Gérée par le contrôleur des données, la couche applicative est là où se trouve la responsabilité de répondre aux demandes des personnes concernées et où la majorité des brèches de sécurité émergent. Son fondement est la couche de plateforme applicative, là où se trouve la source de la majorité des vulnérabilités relatives à la sécurité. La capacité pour une application de maintenir la portabilité des données est largement basée sur la solidité de la couche de la plateforme applicative. Enfin, bien qu’un fournisseur infonuagique soit limité dans son exposition au RGDP, votre infrastructure doit contenir des processus et des mécanismes pour soutenir ceux qui traitent principalement de la couche de la plateforme applicative.
Bien qu’il soit explicite qu’au niveau de la couche applicative, le RGDP implique des processus dynamiques et une sécurité à travers le système d’information en entier. Le RGDP instaure la protection des données par conception et la protection des données par défaut ; exigeant que les mécanismes de protection des données soient mis en place à travers le réseau et que les systèmes d’information soient toujours exploités avec les paramètres de confidentialité les plus élevés possible.
Comment le RGDP peut-il être soutenu ?
Nombre des processus et mécanismes exigés dans le cadre du RGDP sont adressés dans le processus de certification SOC 2, lequel est soutenu par les services de plateforme applicative gérée (PAG) de CloudOps. En instaurant des processus tels que la gestion des risques, la délimitation des responsabilités, la mise en place de politiques relatives à la sécurité des informations, les contrôles de sécurité logiques et physiques, les protocoles de gestion des mots de passe et la certification SOC 2, vous serez plus près de satisfaire les critères mandatés par le RGDP. Il est important de noter que l’accent mis sur les audits aide à exposer les vulnérabilités lorsqu’elles se présentent. Une certification SOC 2 à toutes les couches de votre structure de données assurera que la confidentialité et la sécurité seront conçues de A à Z afin d’aider à prévenir le rayon d’explosion lors de vulnérabilités.
La certification SOC 2 instaurera des processus qui vous aideront à satisfaire les exigences mandatées par le RGDP. En plus de la portabilité des données, le RGDP instaure la protection des données par conception et la protection des données par défaut ; exigeant que les mécanismes de protection des données soient mis en place dans tous les processus. Tous les systèmes d’information doivent être exploités avec les paramètres de confidentialité les plus élevés possible.
Le RGDP exige aussi que tous les renseignements personnels soient cryptés. Cela inclut la pseudonymisation (lorsque les données ne peuvent être attribuées à un individu sans données additionnelles) ou l’anonymisation complète des données. Des solutions DevOps efficaces pour la gestion, le stockage et la protection des renseignements délicats, comme la gestion des secrets dynamiques par HashiCorp Vault’s, sont essentielles pour diminuer la surcharge apportée par le cryptage.
D’un côté, le RGDP exige que l’information soit suffisamment portable pour octroyer aux personnes concernées l’autonomie de décision sur la façon dont leurs données sont utilisées. De l’autre côté, les niveaux de sécurité nécessaires ont une énorme surcharge, ce qui limite l’étendue de la portabilité que peuvent avoir les données. La gestion des deux exige une coopération à l’intérieur de votre pile de réseau ainsi qu’une compréhension de la portée et des implications du RGDP. Lisez ce livre blanc sur la gestion de la sécurité des données et la conformité dans un modèle SaaS.