Mise en conformité de l'infrastructure de stockage et de sauvegarde dans le cadre du Règlement général sur la protection des données (RGPD)

Les entreprises et les institutions publiques des pays de l'Union Européenne (UE) sont sans nul doute informées de l'entrée en vigueur du nouveau Règlement général sur la protection des données (RGPD), d'application à partir du 25 mai 2018. Toutefois, les entreprises basées en dehors de l'Union Européenne ne réalisent pas toujours que ces nouvelles dispositions réglementaires s'appliquent à toutes les sociétés du monde qui traitent des données personnelles de citoyens d'un pays membre, quel que soit l’endroit où elle se situe.

• Examen du RGPD dans l'optique de la loi Sarbannes-Oxley (SOX)
• Terminologie générale du RGPD
• Identification de votre rôle dans le cadre du RGPD
• Défaillances et pannes dans le cadre de la protection des données à caractère personnel
• Prise en charge des obligations de contrôle des données à caractère personnel des personnes concernées
• Autres obligations en matière de protection et de stockage des données visées par le règlement
• Conclusion

Si vous possédez des clients ou partenaires opérant au sein des frontières de l'Union Européenne, vous devez dès à présent vous renseigner sur le RGPD et prendre les mesures qui s'imposent pour mettre votre entreprise en conformité. Sans cela, vous risquez de lourdes sanctions économiques, susceptibles de compromettre la rentabilité de votre entreprise ou vos activités commerciales.

L'objectif du RGPD est de protéger la vie privée des citoyens européens. Par rapport à la législation précédente de l'UE en matière de protection des données, il élargit la définition des données privées et personnelles pour inclure non seulement les documents financiers, administratifs et médicaux, mais aussi des informations propres à l'identité génétique, culturelle et sociale. Les entreprises doivent désormais obtenir le consentement explicite d'une personne avant d'utiliser ses données personnelles et également respecter son « droit à l'oubli », c'est-à-dire supprimer toutes les données personnelles qu'elles détiennent à la demande de l'utilisateur.

Les entreprises doivent par ailleurs respecter une série de nouvelles dispositions pour démontrer leur conformité constante au règlement. À ce titre, elles doivent notamment nommer un « délégué à la protection des données » chargé de résoudre les problèmes liés au règlement, signaler toute violation de données et stocker les données personnelles au sein des frontières physiques de l'Union Européenne. Cette disposition particulière répond aux préoccupations des autorités européennes, qui craignent que certains pays en dehors de l'Union Européenne ne disposent pas de normes aussi exigeantes en matière de protection de la vie privée des citoyens et que les données stockées dans ces pays soient exposées à un risque accru d'interception par des services du renseignement nationaux et par des criminels.

Les défis présentés par la mise en conformité avec le règlement ne sont pas sans rappeler ceux posés par la loi SOX au début des années 2000. À l'instar du RGPD, la loi SOX constituait un nouveau cadre réglementaire strict imposé aux sociétés de tous types et de toutes tailles. Bien qu'il ait été imposé unilatéralement par les États-Unis aux sociétés opérant au sein de ses frontières, il concernait un marché d'une telle ampleur que les entreprises du monde entier en ont été affectées. Comme l'Union Européenne le fait avec le RGPD, les États-Unis avaient établi un calendrier strict de mise en conformité et le non-respect des dispositions de la loi était passible de lourdes amendes. Et comme c'est le cas avec le RGPD, la loi SOX a suscité beaucoup de confusion et de stress chez les entreprises concernées, notamment en ce qui concerne les coûts de la mise en conformité.

À d'autres égards, les professionnels de l'informatique ont aujourd'hui la tâche bien plus facile qu'il y a vingt ans. Par exemple, les entreprises ont accès à des technologies plus performantes pour assurer le respect de leurs obligations de déclaration et démontrer aux autorités qu'elles disposent des politiques, des contrôles et des procédures appropriés pour satisfaire aux exigences du règlement. Les cadres de contrôle de la gouvernance, de la gestion des risques et de la conformité ont beaucoup évolué ces dix dernières années, de même que la discipline de gestion du cycle de vie des politiques. Grâce notamment à des réglementations comme la loi SOX et la Directive européenne sur la protection des données de 1995, les entreprises maîtrisent mieux les analyses d'impact relatives à la protection des données et la gouvernance de l'accès aux données. Elles disposent en outre d'outils plus performants et automatisés pour surveiller, déclarer et corriger les violations de sécurité.

Cela étant, depuis l'adoption de la loi SOX, le monde a changé et cette évolution complique la mise en conformité avec le RGPD. Le stockage des données a beaucoup évolué à différents égards : vitesse, volume, complexité et diversité des supports (dont le stockage dans le Cloud).

La conformité au RGPD a des répercussions sur les analyses d'impact relatives à la protection des données, la gouvernance de l'accès aux données ainsi que la notification et la résolution des violations de données, mais nous n'aborderons pas ces sujets ici. Le présent document se concentre sur la conformité au RGPD dans les domaines de la sécurisation du stockage et de la protection des données actives, y compris leur archivage et leur suppression.

Pour comprendre les dispositions du RGPD portant sur la protection et le stockage des données, il est utile de bien comprendre les termes suivants :

• Personne concernée — Citoyen de l'Union Européenne qui peut être identifié par ses données à caractère personnel. Il peut s'agir d'un consommateur faisant des achats en ligne, un patient d'un système de soins de santé, un citoyen accédant à des services administratifs en ligne, un utilisateur d'applications de réseaux sociaux ; en résumé toute personne communiquant des informations personnelles pour utiliser un service quelconque.
• Responsable du traitement — Entreprise qui opère au sein de l'Union Européenne (ou en dehors de celle-ci mais qui est en relation avec des résidents de l'Union Européenne ) et qui collecte des données sensibles relatives à ces résidents dans le cadre de ces activités. À titre d'exemple, citons une entreprise acceptant des commandes en ligne, des informations de contact et des données de cartes de paiement, ou encore un prestataire de soins de santé détenant des dossiers médicaux de patients. (Ci-après, vous trouverez des informations qui vous aideront à déterminer votre rôle : responsable du traitement ou sous-traitant.)
• Sous-traitant — Entité commerciale, tel un fournisseur de services Cloud, qui traite des données pour le compte d'un responsable du traitement, par exemple une autre entreprise offrant des services à des citoyens de l'Union Européenne et collectant des données sensibles à leur sujet. Il peut s'agir par exemple d'hébergeurs d'applications, de fournisseurs de stockage et de fournisseurs de services Cloud comme les sauvegardes.
• Données à caractère personnel — Toute information se rapportant à une personne physique identifiée ou identifiable. La définition donnée par l'Union Européenne est plus large que celle d'autres gouvernements et inclut le nom du citoyen de l'Union Européenne, l'adresse e-mail, les publications sur les réseaux sociaux, des informations propres à son identité physique, physiologique, culturelle ou génétique, des renseignements médicaux, des données de localisation, des coordonnées bancaires, une adresse IP, des cookies, etc.
• Droit à l'oubli — Droit de tout citoyen de l'Union Européenne d'obtenir que ses données à caractère personnel soient effacées et ne soient plus traitées. Les personnes peuvent demander la suppression de toutes leurs données à caractère personnel stockées sur les serveurs d'un responsable du traitement. Il subsiste une certaine ambiguïté concernant ce point particulier. Une demande de droit à l'oubli exige-t-elle également l'effacement des données des sauvegardes ? (Un point qui peut être problématique avec des supports de sauvegarde en série tels que les bandes.) Et que se passe-t-il lorsqu'une demande de droit à l'oubli est en conflit avec les politiques de rétention des données d'une entreprise à des fins légales et d'archivage ?
• Violation de données à caractère personnel — Violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. Les entreprises doivent signaler une violation de données à l'autorité de contrôle au plus tard 72 heures après en avoir pris connaissance.

Pour comprendre vos obligations au titre du règlement, vous devez d'abord déterminer le rôle de votre entreprise (responsable du traitement ou sous-traitant) grâce aux trois questions suivantes :

1. 1 Conservez-vous ou traitez-vous des données à caractère personnel de résidents de l'Union Européenne ?
2. 2 Déterminez-vous quelles données à caractère personnel vous allez stocker ou conserver ?
3. 3 Décidez-vous de l'utilisation qui est faite des données à caractère personnel stockées sous votre contrôle ?

Si vous répondez par l'affirmative à la première question uniquement, vous avez un rôle de sous-traitant dans le cadre du RGPD. Si vous répondez oui aux trois questions, vous êtes considéré comme un responsable du traitement.

En votre qualité de responsable du traitement ou de sous-traitant chargé de la mise en conformité avec le RGPD de la protection et du stockage des données à caractère personnel, vous devez également prendre en compte les questions suivantes :

1. Pouvez-vous identifier, spécifier et contrôler l'emplacement physique du stockage des données à caractère personnel sous votre contrôle ? Cette question est tout particulièrement importante si vous utilisez ou fournissez des services de stockage et/ou protection des données hébergés dans le Cloud, dès lors que les données à caractère personnel peuvent être disséminées entre plusieurs centres de données physiques, y compris en dehors de l'UE.
2. Comment sont structurées les données à caractère personnel que vous stockez ? Le choix des formats de données a des répercussions sur votre capacité à lire, à modifier et à supprimer des données à caractère personnel spécifiques à la demande des utilisateurs. Les structures de données permettant une recherche rapide et efficace sont tout particulièrement intéressantes pour prendre en charge de telles demandes à grande échelle.

Votre capacité à démontrer la confidentialité, l'intégrité, l'accessibilité et l'effacement des données à caractère personnel repose en partie sur votre faculté à prévenir et à récupérer de pannes, qu'il s'agisse du stockage, des sauvegardes ou de la restauration de données. Ces pannes ou défaillances sont réparties en trois catégories :

• Pannes matérielles — Défaillance physique de n'importe quel composant matériel de stockage, y compris les disques, les contrôleurs de stockage et les centres de données. Exemples : disque dur accidentellement exposé à un champ magnétique, ce qui a entraîné son effacement partiel.
• Pannes logiques ou logicielles — Défaillances dues aux erreurs humaines. Exemples : suppression ou écrasement accidentel de fichiers au cours d'une sauvegarde ; corruption accidentelle des données de fichiers due à un bogue ou à une erreur dans un script ou une application métier ; suppression accidentelle du secteur de démarrage principal d'un disque dur.
• Violations de sécurité — Pannes dues à des attaques malveillantes et délibérées contre l'infrastructure informatique, y compris les réseaux, les serveurs, les applications et les terminaux, qu'elles soient le fait de personnes internes malveillantes, de cybercriminels ou d'États hostiles. Exemple : attaque par ransomware qui applique un chiffrement inviolable au contenu d'un disque dur et exige un paiement en ligne en échange de la clé de déchiffrement.

Outre la protection contre divers types de défaillances de la protection des données et le signalement des violations aux autorités de l'Union Européenne, les responsables du traitement ont plusieurs obligations vis-à-vis des utilisateurs dont ils stockent les données. Les responsables du traitement doivent offrir aux utilisateurs les possibilités suivantes :

• Accéder, consulter et modifier leurs données à caractère personnel
• Supprimer facilement leurs données à caractère personnel, soit directement, soit sur demande envoyée à l'entreprise
• Exporter leurs données à caractère personnel dans un format facile à lire

Satisfaire les demandes des utilisateurs n'est pas toujours simple. Si, par exemple, il est facile de répondre à des demandes simples de type « Supprimez ma boîte aux lettres et tout son contenu », il est plus malaisé de satisfaire des demandes plus complexes ou ambiguës, comme la suppression de tous les commentaires de l'utilisateur d'un forum en ligne.

Les sociétés engagées comme sous-traitants ont d'autres obligations à respecter, dont les suivantes :

• Offrir des garanties suffisantes que leurs services satisfont aux exigences techniques et organisationnelles stipulées dans le RGPD.
• Ne pas avoir recours à des prestataires de services intermédiaires pour réaliser l'objet des contrats conclus entre le sous-traitant et ses clients (responsables du traitement) sans le consentement exprès de ceux-ci.
• À l'expiration ou à la résiliation d'un contrat de services, supprimer toutes les données de leur infrastructure Cloud et/ou de centre de données et en donner la preuve.
• Signaler les violations de données aux autorités réglementaires.

L'Union Européenne entend bien faire respecter les dispositions du règlement et menace de sanctions financières lourdes toute entreprise qui ne peut démontrer sa conformité ou est en violation flagrante des dispositions du RGPD relative à la protection de la vie privée des utilisateurs. Par exemple, si l'entreprise ne tient pas des registres écrits, si elle n'implémente pas diverses mesures techniques et organisationnelles et/ou si elle ne nomme pas de délégué à la protection des données, elle peut être passible d'une amende s'élevant à 10 millions d'euros ou à 2 % de son chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). En cas d'une violation de données ou d'une violation des droits de la personne concernée (par exemple la perte ou la suppression de ses données sans autorisation), l'entreprise peut encourir des amendes encore plus lourdes : 20 millions d'euros ou 4 % de son chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu).

En général, pour se conformer les exigences du règlement en matière de stockage et de protection (sauvegarde) des données, les sous-traitants et les responsables du traitement doivent mettre en place des solutions d'infrastructure et de services respectant les exigences techniques suivantes :

• Contrôle par les personnes concernées de l'emplacement de stockage de leurs données à caractère personnel. Le sous-traitant et/ou responsable du traitement doit être en mesure d'honorer les souhaits des personnes dont il conserve ou traite les données en matière d'emplacement de stockage de leurs données à caractère personnel : sur site et/ou dans un centre de données spécifique situé dans l'UE.
• Chiffrement des données. Les données à caractère personnel hébergées sur les terminaux du sous-traitant, ainsi que les données en transit sur les réseaux locaux, étendus et dans le Cloud doivent être chiffrées à l'aide de clés de chiffrement fortes. Le processus de chiffrement doit être entièrement automatisé et la personne concernée doit être la seule à détenir la clé de déchiffrement.
• Recherches de données dans les sauvegardes. Le sous-traitant et/ou responsable du traitement doit être en mesure d'effectuer des recherches granulaires dans les sauvegardes afin de retrouver plus facilement les informations requises pour le compte des personnes concernées.
• Possibilité de modification des données à caractère personnel. Le sous-traitant et/ou responsable du traitement doit être en mesure de copier, modifier et supprimer facilement les données à caractère personnel à la demande des personnes concernées.
• Exportation des données dans un format courant. Il doit être en mesure d'exporter les données à caractère personnel dans un format courant et facilement accessible (par exemple des fichiers archives ZIP).
• Restauration rapide des données. Le sous-traitant et/ou responsable du traitement doit être en mesure de restaurer rapidement des données à caractère personnel à partir des sauvegardes en cas de défaillance du matériel de stockage, de problème logiciel, d'erreur de l'opérateur ou d'une violation de sécurité (par exemple une attaque par ransomware).

De même, il doit tenir compte des dispositions suivantes du RGPD lors du choix des services et des infrastructures de stockage et de sauvegarde :

• Transfert transfrontalier des données. Tout transfert à l'extérieur des frontières de l'Union Européenne doit être transparent et sécurisé. Les fournisseurs de services doivent être en mesure de communiquer les emplacements de stockage des données à caractère personnel si les personnes concernées leur demandent.
• Notification des violations de sécurité. En cas de violation de données, un sous-traitant doit être en mesure d'avertir les responsables du traitement et les clients des risques éventuels au plus tard 72 heures après l'incident.
• Droit d'accès. La solution de sauvegarde et de stockage doit être conçue de telle sorte que les droits des personnes concernées à obtenir des informations des responsables du traitement soient respectés. Le responsable du traitement doit être en mesure de fournir gratuitement une copie des données. Les personnes concernées doivent pouvoir accéder aux fichiers de sauvegarde 24 heures sur 24 et 7 jours sur 7. Les données à caractère personnel d'un compte de stockage ou de sauvegarde doivent pouvoir être supprimées par la personne concernée ou à sa demande.
• Droit à l'oubli. Lorsque les données n'ont plus lieu d'être utilisées ou conservées, les personnes concernées doivent pouvoir demander leur effacement au responsable du traitement.
• Portabilité des données. Les personnes concernées doivent avoir le droit d'obtenir et de réutiliser leurs données à caractère personnel pour leurs propres fins en les transférant vers d'autres environnements informatiques. Il faut donc pouvoir télécharger les données à caractère personnel dans un format portable.
• Délégués à la protection des données. Les pouvoirs publics et les grandes entreprises (de plus de 250 employés) doivent désigner un délégué à la protection des données qui sera responsable de la mise en conformité avec le règlement.
• Confidentialité prévue dès la conception. Les responsables du traitement et les sous-traitants doivent implémenter les mesures techniques et organisationnelles appropriées (par exemple la pseudonymisation) pour satisfaire les principes de protection des données.

L'échéance du 25 mai 2018 pour la mise en conformité au RGPD se rapproche à grand pas. Les sanctions prévues en cas d'infraction sont sévères, mais tout fournisseur de services, entreprise et institution servant les citoyens de l'Union Européenne peut dès à présent prendre des mesures pour s'y préparer. Le RGPD renforce et élargit la définition des droits à la protection de la vie privée des citoyens par rapport aux réglementations antérieures, comme la Directive européenne sur la protection des données de 1995. Familiarisez-vous avec la nouvelle terminologie du RGPD pour comprendre votre rôle dans ce cadre réglementaire. Ensuite, attelez-vous au défi de la mise en conformité : concentrez-vous sur les mesures de protection de la confidentialité des données à caractère personnel sous votre contrôle et améliorez vos infrastructure et services de protection et de stockage des données pour satisfaire les nouvelles exigences.

Pour en savoir plus, consultez les ressources suivantes :

• Lien vers le rapport IDC
• Solutions de gestion des sauvegardes et du stockage pour les environnements d'entreprise