Nouveau règlement européen GDPR
Le 25 mai 2018 rentrera en vigueur le nouveau règlement général de l'Union européenne sur la protection des données, le GDPR. Ce dernier s'appliquera à toutes les sociétés actives dans l'Union européenne ou traitant avec des clients basés dans l'UE. Ce règlement a pour but de remplacer la directive actuelle datant de 1995.
Le GDPR va désormais imposer à toute entreprise travaillant dans l'UE ou à toute société étrangère qui traite des données de clients de l'UE, de stocker et traiter l'ensemble des données personnelles des individus dans les frontières européennes; aucune donnée ne devra en sortir, sauf en cas de consentement de la personne concernée.
De plus, le délai de conservation convenu devra être absolument maintenu et la sécurité garantie tout au long du processus. Des solutions de chiffrement des données devront être mises en place par les responsables de traitement des informations.
Un système de reporting complet est envisagé afin de pouvoir extraire l'ensemble des données utiles pour assurer la conformité de l'infrastructure de stockage : lieu du stockage, suppression des données, conditions de chiffrement. Bien entendu, ces reporting doivent pouvoir être extraits lors de contrôles par des auditeurs externes à l'organisation.
Voici quelques points que chaque fournisseur de services cloud va devoir désormais respecter :
- des garanties suffisantes doivent être apportées assurant que le service est conforme aux nouvelles règles et aux exigences en vigueur
- dès que le contrat de service se termine, les données doivent être éliminées et supprimées du cloud, des preuves étant bien entendu demandées
- aucun autre sous-traitant ne doit intervenir dans le contrat, sauf cela est accepté par les parties concernées
- les responsables du traitement des données doivent annoncer tout incident de fuite de données en cas de souci
Quelques critères facilitent l'optimisation de la mise en conformité des entreprises avec le GDPR :
- Chiffrement des données : le fournisseur de stockage doit assurer que l'ensemble des données sont chiffrées et donc illisibles par toute personne mal intentionnée
- Exportation des données : les données doivent pouvoir être exportées dans un format de fichier courant en cas de contrôles par les autorités compétentes
- Lieu de stockage : les solutions existantes doivent pouvoir démontrer où sont stockées exactement les données, en Europe
- Restauration rapide : un système de restauration doit être en place et permettre de restaurer les données très rapidement en cas d'incident majeur (incendie, attaque, etc.)
- Protection contre les attaques : les attaques de ransonware sont de plus en plus en courantes et doivent pouvoir être bloquées par les systèmes des fournisseurs Cloud. Ceci dans le but d'éviter toute perte ou fuite de données.
- Certification : il doit être possible de fournir une preuve concrète de l'intégrité des données
Finalement, le GDPR est donc l'occasion pour chaque fournisseur de solutions de revoir les systèmes en place et les aligner sur les nouvelles règles, ceci dans le but d'assurer la protection des données sur le long terme.
Source : Globb Security