Le RGPD, ou Règlement général sur la protection des données, remplace la Directive sur la protection des données personnelles de 1995 et entrera en vigueur le 25 mai 2018. Il vise à protéger la vie privée des citoyens européens, à unifier les lois relatives à la protection des données au sein de l’Union européenne et à redéfinir les méthodes de traitement et de gestion des données personnelles par les entreprises de l’Union européenne et au-delà. En 10 ans,
le volume de données a littéralement explosé.
Les entreprises qui ont investi dans les outils pour traiter et analyser ces données ont pu en tirer des avantages concurrentiels appréciables : dans leur gestion de clientèle ou dans leurs campagnes marketing par exemple. Malheureusement cette mine d’or a attiré bien des convoitises. Cela a donné naissance parfois à des pratiques douteuses au détriment du respect de la vie privée. Le besoin grandissant des entreprises d’avoir un accès rapide et facile à leurs ressources les a poussés à trouver des solutions qui mettent les exigences de sécurité et confidentialité à rude épreuve. C’est dans ce contexte que la CNIL a ressenti le besoin d’instaurer une réglementation plus stricte destinée à assainir les méthodes de traitement et de gestion des données personnelles par les entreprises de l’Union européenne.
Quelles sont les exigences et dispositions du RGPD ?
L’objet principal du RGPD est la
gestion des données à caractère personnel, à savoir : “L’ensemble des données concernant une personne identifiée ou identifiable. Il peut notamment s’agir d’identificateurs, comme le nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou de tout autre critère propre à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne.”
Le règlement s’applique à toute organisation qui recueille et traite des données personnelles concernant des individus au sein de l’Union européenne, mais aussi aux entreprises hors-UE qui proposent des biens et des services à des individus au sein de l’Union européenne.
Les exigences du RGPD reposent sur sept grands principes de traitement, précisés dans le règlement. Tous ces principes visent à
protéger la vie privée des individus au sein de l’Union européenne :
- Légalité, équité et transparence : les organisations doivent procéder au traitement des données de façon légale, équitable et transparente. Le consentement de l’individu est donc indispensable.
- Limitation à la finalité : les organisations peuvent uniquement traiter les données aux fins pour lesquelles elles ont été recueillies et communiquées par la une personne concernée.
- Portée minimale des données : dans le cadre du traitement, seule une quantité minimale de données doit être recueillie pour atteindre les objectifs définis.
- Exactitude des données : les données recueillies doivent rester exactes tout au long du traitement par le responsable du traitement ; les données inexactes doivent être supprimées ou rectifiées.
- Limitation de la durée de conservation : les organisations doivent conserver les données aussi longtemps que nécessaire.
- Intégrité et confidentialité : le traitement doit être effectué de façon à protéger correctement les données en utilisant des contrôles techniques et organisationnels et en empêchant toute divulgation non autorisée ou accidentelle ou tout préjudice.
- Responsabilité : la responsabilité première de veiller à ce que ces principes soient respectés, y compris lorsqu’ils sont délégués à un gestionnaire, incombe au responsable du traitement.
Ce règlement n’est pas propre à un secteur et s’applique aux procédures de stockage et de traitement des données aussi bien dans le Cloud que sur site.
Le RGPD et les fournisseurs de Cloud
A l’heure où les entreprises s’inquiètent de choisir les bonnes solutions pour gérer leur mise en conformité à la RGPD, le cloud est souvent vu comme un vilain petit nuage noir (à tors). Peu importe que vous conserviez vos données en intra-muros ou dans le Cloud, le RGPD s’applique à toute entreprise ou organisation. Et, contrairement aux idées reçues, choisir le cloud, et surtout
choisir le bon fournisseur de Cloud peut vous aider à mettre la gestion de vos données personnelles en conformité avec le RGPD. Divers services Cloud sont d’ailleurs axés sur la sécurité de l’information. Ainsi certains fournisseurs de Cloud ouvrent la voie avec une proposition de valeur très ciblée autour de la conformité réglementaire. C’est le cas d’ OVH
, le partenaire de Partitio et poids lourd français de l’hébergement Cloud.
Chez Partitio, lorsque nous avons commercialisé nos premières offres d’hébergement en Cloud privé, nous étions à la recherche d’un partenaire à la fois techniquement très solide et irréprochable sur le traitement et la sécurité des données. En février 2017, notre partenaire OVH a prouvé qu’il est le partenaire idéal en matière de sécurité des données en rejoignant le CISPE. Ainsi dès 2016, une dizaine de fournisseurs de services Cloud opérant en Europe (
voir la liste) ont décidé de lancer le premier code de conduite commun pour la protection des données et se sont regroupés en association, le CISPE (Cloud Infrastructure Services Providers in Europe).
De leur propre initiative, ces fournisseurs ont pris les devants. Ils ont bien saisi les enjeux et inquiétudes des entreprises face à cette transformation, et choisissent de se positionner en précurseur avec un message rassurant : ils sont plus que sont prêts pour l’entrée en vigueur du règlement, en mai 2018.
Le CISPE est un code de bonne conduite qui prévoit certaines obligations des fournisseurs de solutions qui y adhèrent en termes de protection des données, transparence, d’adhésion et de gouvernance. Ce code est bien sûr en conformité avec le RGPD mais il va au-delà. Les adhérents au CISPE doivent répondre à un niveau d’exigence supérieure puisqu’ils ont notamment l’obligation de prévoir la possibilité pour les clients finaux de demander à ce que leurs données soient stockées et traitées intégralement dans la zone économique européenne. Ce code apporte un complément au règlement européen dans le sens où il fournit des recommandations propres à l’industrie de l’hébergement informatique. Il défend les bonnes pratiques dans le domaine de la gestion, du traitement et du stockage des données et se donne pour mission “d’aider les acheteurs de services Cloud à s’assurer que leur fournisseur d’infrastructure cloud utilise des standards de protection des données appropriés pour protéger leurs données de manière cohérente avec le RGDP”. En d’autres termes le CISPE apporte les applications concrètement applicables par les entreprises pour mettre en œuvre les dispositions prévues par RGPD.
Solution Cloud innovante pour se transformer en toute sérénité
Le RGPD définit un ensemble spécifique de normes et d’exigences,
mais ne précise aucune technologie, aucun processus ni aucun système en particulier. Ainsi une
solution hybride alliant des avantages propres aux solutions de cloud public à ceux du Cloud privé ressort comme un élément de réponse intéressant au besoin de mise en conformité au RGPD. Quand nous évoquons le “Cloud public” cela signifie que les données sont stockées sur des serveurs partagés, détenues par des tiers, et potentiellement localisés à l’étranger. On peut penser que conserver ses données sur des serveurs internes dans l’entreprise sera une solution plus sure et plus à même de répondre au besoin de conformité actuel. En réalité les opérateurs disposent en générale d’un niveau de sécurité bien supérieur qu’une entreprise en ce qui concerne la protection et l’accès aux données. Mais l’avantage d’un Cloud public pour l’entreprise est de reporter la conformité réglementaire sur un tiers, le fournisseur, qui sera d’ailleurs bien plus à même d’effectuer des correctifs logiciels sur une base régulière, essentiels pour gérer la conformité.
De son côté, le Cloud privé offre la liberté d’accéder à vos applications de n’importe où et de collaborer sur des fichiers en profitant d’un environnement hautement sécurisé et disponible. La combinaison des deux offre une solution de cloud hybride : une option économique et un élément de réponse à la conformité exigée par le GRPD. Partitio a conçu cette solution sur mesure pour son
partenaire Lafayette conseils et propose désormais l’offre starter personnalisable à l’ensemble de ses clients.