Brève explication du nouveau règlement général de l’UE sur la protection des données

Article
GDPR

Le nouveau règlement général de l’Union européenne  sur  la  protection  des  données, le GDPR General Data Protection Regulation entre en vigueur le 25 mai 2018 et s’appliquera à toute entreprise opérant dans l’UE ou traitant avec des clients basés dans l’UE. Il remplace la directive européenne de protection des données adoptée en 1995 avec l’objectif d’harmoniser les lois de protection de la confidentialité des données personnelles des citoyens des différents Etats membres  de l’UE.

Acronis prépare actuellement une déclaration officielle pour annoncer sa totale conformité au GDPR, en tant qu’entreprise traitant avec des clients de l’UE et en tant que fournisseur de technologie de protection des données à d’autres entreprises opérant dans l’UE. L’annonce sera accompagnée d’outils permettant aux fournisseurs de services, aux partenaires  et
aux clients de repérer, consigner, stocker et supprimer les données conformément aux obligations imposées par le nouveau  règlement.

Principaux termes et leur définition

Avant de voir le détail des implications du nouveau règlement et comment Acronis peut vous aide à vous mettre en conformité avec le GDPR, définissons quelques-uns des termes utilisés dans cette nouvelle directive. Notez que cet article de blog n’a pas valeur d’avis juridique et qu’il a seulement pour but d’informer ceux qui le lisent.
  • Responsable du traitement (controller en anglais) : « la personne physique oumorale, la puissance publique, l’agence ou tout autre organisme qui, seul ou conjointement à d’autres, détermine la finalité et les moyens mis en place pour le traitement des données personnelles ». C’est vous-même, entreprise opérant dans l’UE ou traitant avec des  clients basés  dans l’UE.
  • Sous-traitant (processor en anglais) : « lapersonne physique ou morale, la puissance publique, l’agence ou tout autre organisme qui se charge du traitement des données personnelles pour le compte du responsable du traitement ». C’est votre fournisseur de capacité de stockage dans le Cloud et/ou votre fournisseur de technologie de protection des données, comme Acronis.
  • Données personnelles : « toute donnée qui permet, directement ou indirectement, d’identifier une personne physique ». C’est le point central et la raison même d’exister du règlement GDPR.
  • Personne concernée (data subject en anglais) : la personne que les données personnelles permettent d’identifier. C’est la personne dont vous devez obtenir le consentement avant de pouvoir utiliser les données personnelles les concernant que vous conservez sur vos serveurs ou dans votre compte sur le Cloud. En vertu du GDPR, ces personnes peuvent vous demander de quelles données vous disposez et vous devrez répondre à chaque demande dans les meilleurs délais sous peine sinon de lourdes amendes.
  • Droit à l’oubli numérique : les personnes concernées  ont  droit  de  demander « l’effacement des données personnelles les concernant et l’arrêt de tout traitement ». Une personne pourra vous demander de supprimer l’intégralité des données personnelles la concernant stockées sur vos serveurs. A ce stade, il n’est pas établi clairement si le droit à l’oubli signifie la suppression des données des sauvegardes, car  certains  types  de  supports de stockage, les bandes par exemple, ne permettent pas la suppression sélective de données sans détruire toute la  sauvegarde. Votre entreprise pourra aussi être soumise à certaines règles de rétention des sauvegardes à des fins d’archivage et légales.
  • Fuites de données personnelles (personal data breach en anglais) : « faille de sécurité donnant lieu, accidentellement ou de manière illicite, à la destruction, la perte, l’altération, la divulgation non autorisée ou la consultation des données personnelles transmises, stockées ou traitées ». Vous  devrez  signaler  tout incidentlié à une fuite de données à « l’autorité de supervision » sous 72 heures à compter du moment  où  vous  en  êtes informé.
  • Contrat de service : accord conclu entre le responsable  du  traitement  et  le  sous-traitant.
  • Délégué à la protection des données (Data protection officer en anglais) : nouvelle fonction dans votre entreprise  chargée  de  tous les aspects liés à la protection des données personnelles.


Principales exigences du GDPR

Le GDPR impose à toute entreprise opérant dans l’UE ou à toute entreprise étrangère traitant avec des clients de l’UE de stocker et traiter toutes les données personnelles dans les limites des frontières européennes (sauf consentement explicite de la personne concernée à ce que ses données soient conservées en dehors de l’UE).

Les données personnelles ne peuvent être conservées plus longtemps que la période de rétention convenue initialement et doivent être protégées conformément aux nouvelles règles. Le responsable du traitement et le sous-traitant sont tenus de « mettre en œuvre des  mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque»,  y  compris  pour  le  chiffrement  des  données  et leur pseudonymisation (« le traitement de données personnelles de manière à ce que les données ne puissent plus être rattachées à un individu sans être recoupées avec d’autres informations »).

Le GDPR prévoit aussi un mécanisme de reporting complet pour aider le responsable du traitement à identifier les données personnelles stockées sur ses serveurs et à pouvoir confirmer sur demande le lieu du stockage, les conditions de chiffrement et la suppression des données. Des mesures doivent


Relations avec le fournisseur de capacité de stockage Cloud et le fournisseur de technologie de protection des données

Le GDPR impose de nouvelles obligations de sécurité et contractuelles aux organisations (responsables du traitement) amenées à traiter avec des fournisseurs de services Cloud et des fournisseurs de technologie de protection des données, comme Acronis (sous-traitants).

Voici  en  quelques  points une synthèse des relations entre responsables du traitement et sous- traitants :
  • Les fournisseurs de services Cloud doivent apporter des garanties suffisantes que le service est conforme aux exigences  techniques et organisationnelles du nouveau  règlement.
  • Les contrats de service entre le responsable du traitement et le sous-traitant interdisent le recours à d’autres sous-traitants sans le consentement préalable du responsable du traitement.
  • A l’expiration du contrat de service, toutes les données  doivent  être  supprimées  du  Cloud et le sous-traitant doit apporter des preuves suffisantes que c’est bien le cas.
  • Les responsables du traitement ont l’obligation de rendre compte de tout incident de fuite de données à l’autorité réglementaire.


Comment Acronis peut-il vous aider à rendre votre entreprise conforme au GDPR ?

Acronis mettra à la disposition des partenaires et des clients les outils appropriés leur permettant  de repérer les données devant être rendues conformes. Acronis fournira également les outils où consigner les actions de stockage et de suppression des données des citoyens de l’UE. La responsabilité de repérer les données de façon appropriée revient aux partenaires et aux clients qui devront aussi utiliser les nouveaux outils de reporting et de management.
Les partenaires et les clients d’Acronis devront assumer le reste des obligations de conformité étant donné qu’Acronis n’a aucune visibilité sur les données elles-mêmes. Toutes les données seront chiffrées sans exception sans qu’Acronis détienne les clés de chiffrement. L’entreprise pourra utiliser les nouveaux outils pour indiquer si les données personnelles sont toujours stockées ou supprimées.

Les nouveaux outils sont un complément aux technologies de protection des données d’Acronis déjà parfaitement adaptées à la mise en conformité avec le GDPR :

Contrôle du lieu de stockage des données.
Les solutions de protection des données Acronis s’appuient sur l’architecture de Cloud hybride Acronis qui permet de contrôler où les données sont stockées. Vous êtes libre de choisir le stockage sur site ou dans un datacentre spécifique basé en Europe.

Chiffrement des données. Acronis propose de puissants  algorithmes  de  chiffrement  au  repos, en transit et dans le Cloud. Tout le processus est automatisé et l’utilisateur détient la clé, conformément aux exigences de sécurité des données  du GDPR.

Recherche de données dans les sauvegardes. Acronis permet d’explorer les sauvegardes à la recherche de l’information voulue.

Modification des données personnelles. Acronis vous propose un moyen simple de modifier les données personnelles sur demande des personnes concernées.

Exportation des données dans un format courant. La technologie Acronis autorise l’exportation des données dans un format  courant facile à utiliser (ex. archive ZIP) pour se conformer aux exigences de portabilité des données du GDPR.

Restauration rapide des données. La technologie Acronis de restauration  des données est la plus rapide au monde. La technologie Acronis Instant  Restore™  permet  d’atteindre  des  objectifs de temps de restauration (RTO) inférieurs à 15 secondes en démarrant la sauvegarde Windows ou  Linux  à  partir  du  stockage  directement  en  tant que machine virtuelle (VM) VMware ou Hyper-V ; les données  n’ont  pas  à  être  déplacées.

Protection active contre les attaques de ransomwares. Il est plus simple et plus économique de prendre des mesures préventives que de devoir faire le signalement obligatoire de chaque incident de fuite de données. Acronis Active Protection™ détecte et bloque les attaques de ransomwares et restaure instantanément les données affectées.

Certification des données par la technologie Blockchain. Avec l’aide de Acronis Notary™, il  est simple de certifier les données protégées grâce à la technologie blockchain afin de produire une preuve inaltérable  de  l’intégrité  des  données.

Testez dès aujourd’hui les solutions Acronis de protection des données et vous constaterez combien il est simple de  se mettre  en  conformité avec le règlement GDPR quand on utilise la bonne technologie.

L’architecture de Cloud hybride d’Acronis, le contrôle total sur les données protégées, le chiffrement des données, le reporting, les logiciels anti-ransomware et la certification d’intégrité des données font d’Acronis le partenaire idéal pour assurer la protection de vos données en conformité avec les obligations réglementaires du GDPR.