Fraîchement diplômé de l’ESCP Business School, Valentin a toujours eu une grande affinité pour les mots et la littérature, autant que pour la musique. Responsable de la marque chez Formalizi, il vous donnera la dose de fraîcheur entrepreneuriale dont vous avez besoin au quotidien !
Du fait de l'omniprésence d'internet dans nos vies, nous diffusons toujours davantage de données personnelles sur le net qui peuvent s'avérer vulnérables et à la merci de virus ou de pirates informatiques. Pour les entreprises, les conséquences d'une fuite de données ou d'une attaque informatique peuvent être désastreuses : coût important pour reconstruire le système, dégradation de l'image de l'entreprise, perte de confiance des clients...
Dans un objectif de sécurisation des données détenues par les entreprises dans l'Union européenne, le règlement général sur la protection des données (RGPD) met certaines obligations à la charge des entreprises. Il est donc de première importance que chaque entreprise comprenne quelles sont ses obligations en matière de cyber-sécurité et de protection des données. Les entreprises non conformes aux préconisations du RGPD pourront être sanctionnées par les autorités de régulation et seront d'autant plus vulnérables aux possibles attaques informatiques.
Nous vous expliquons aujourd’hui l'essentiel à savoir sur ce qu'impose le RGPD aux entreprises dans le domaine de la cyber-sécurité.
Les obligations imposées par le RGPD en termes de cyber-sécurité
Le RGPD consacre toute une section à la protection des données à caractère personnel que peuvent collecter les entreprises au cours de leur activité.
L'article 32 du règlement instaure ainsi une obligation de sécurité dans le traitement de ces données. Toute entreprise qui collecte des données à caractère personnel doit mettre en oeuvre des mesures techniques propres à assurer les objectifs suivants :
- Empêcher les accès non autorisés (confidentialité);
- Empêcher les modifications non autorisés (intégrité);
- Empêcher la disparition de données (disponibilité).
<div class="article-highlight_component"><div class="article-highlight_emoji"></div><p>À savoir : une donnée est à caractère personnel dès lors qu'elle est relative à une personne physique et qu'elle permet son identification, directement ou indirectement (nom, numéro d'identification, données de localisation, identifiant en ligne, éléments spécifiques propres à son identité physique, physiologique, économique, culturelle, sociale...).</p></div>
En France, la Commission nationale de l'informatique et des libertés (CNIL) peut procéder à des contrôles et peut délivrer des amendes aux entreprises donc le système de protection est insuffisamment développé. C'est pourquoi il importe de vérifier que votre entreprise dispose de solutions techniques pour apporter une protection suffisante.
Le RGPD liste trois modes principaux de protection pour s'assurer de la confidentialité, de l'intégrité et de la disponibilité des données à caractère personnel que peuvent instaurer les entreprises : l'anonymisation, la pseudonymisation et le chiffrement (voir ci-après).
Il revient aux entreprises de décider elles-mêmes le mode de protection qu'elle juge le plus approprié à leur activité et aux types de données qu'elles collectent.
Il est possible de faire appel à des prestataires de services spécialisés dans les services d'anonymisation ou de chiffrement, mais la protection des données peut aussi se faire de manière interne à l'entreprise.
À savoir : le RPGD met de nombreuses autres obligations à la charge des entreprises que la prévention des risques de cyber-sécurité. Cliquez-ici pour comprendre comment mettre facilement votre entreprise en conformité avec le RGPD.
L'anonymisation des données
L'anonymisation est une technique qui permet de supprimer toute possibilité d'identification de la personne qui aura partagé ses données avec l'entreprise. L'avantage de cette technique est qu'elle offre un niveau de protection maximal et que les données peuvent être réutilisées car, une fois anonymisées, il n'y a plus de risque de porter atteinte à la vie privée des personnes concernées.
Différentes techniques permettent d'effectuer une anonymisation :
- la randomisation : rendre les données moins précises tout en conservant la répartition globale (permuter les dates de naissance des individus entre eux pour altérer la véracité des informations);
- la généralisation : modifier l'échelle des données pour les rendre moins précises (pour des données relatives à la date de naissance, ne garder que l'année de naissance des individus).
Une donnée est anonymisée correctement lorsque les trois critères suivants sont remplis :
- Un individu ne peut être individualisé dans le lot de données (individualisation) ;
- On ne peut relier différentes données à un même individu (corrélation) ;
- On ne peut déduire de nouvelles informations à partir des données existantes (inférence).
Toutefois, l'anonymisation pourra souvent limiter le traitement des données par l'entreprise en raison de la perte de l'information originale. C'est pourquoi une entreprise peut plutôt opter pour la pseudonymisation.
<div class="article-highlight_component is-cta"><div class="article-highlight_emoji is_cta"></div><p><strong class="bold-text">Besoin de couvrir vos risques cyber ?</strong></p><p>>> On a justement une couverture dédiée (et pas trop cher).</p></div>
La pseudonymisation des données
A la différence de l'anonymisation, la pseudonymisation se veut un mécanisme de protection réversible. Il s'agit de remplacer une donnée à caractère personnelle par une autre donnée, appelée pseudonyme, empêchant toute identification sans avoir recours à une clé d'identification.
En pratique, il s'agit de remplacer par exemple le nom et le prénom sous lequel s'enregistre un client par des données qui ne permettent pas une identification directe (alias, numéro...).
Afin de garder l'utilité des données à caractère personnelles, il est possible de créer une table de correspondance qui permet de relier chaque donnée originale à son pseudonyme. La table de correspondance devra bien évidemment être très sécurisée car la fuite de ses informations permettrait l'identification de toutes les personnes à partir des pseudonymes. C'est pourquoi elle devra être stockée dans un serveur sécurisé.
Le chiffrement des données
Le chiffrement repose sur un procédé d'encodage qui permet de rendre illisible les données chiffrées sans une clé de déchiffrement. Les données stockées sur un serveur partagé ou sur du matériel (ordinateur, smartphone) sont alors protégées de tout risque d'atteinte ou de détournement.
Le chiffrement peut se faire relativement facilement pour des petites quantités de fichiers. Des logiciels gratuits existent pour crypter un document et générer une clé de déchiffrement. Il ne reste plus ensuite qu'à transférer par un canal le document, par mail par exemple, et la clé de déchiffrement par un autre canal, par sms.
En cas de compromission d'un des canaux, la sécurité des données restent assurée car le hacker n'aura pas accès à la fois au document et à la clé.
À savoir : lorsqu'il s'agit de chiffrer un grand volume de données, les données peuvent être stockées directement dans un répertoire chiffré. Là-encore, des logiciels gratuits existent pour limiter les coûts.
L'obligation de déclaration des atteintes aux données personnelles
Le RGPD oblige toute entreprise qui constate qu'une atteinte à des données à caractère personnel a eu lieu à le déclarer à la CNIL sous les 72 heures suivant la découverte de l'atteinte.
La déclaration doit mentionner la nature de l'atteinte, le nombre de données concernées, une évaluation des conséquences probables de l'atteinte, ainsi que les mesures prises pour remédier à cette atteinte.
Par ailleurs, le RGPD oblige aussi à notifier la personne dont les données ont été violées lorsqu'il y a un risque élevé pour sa vie privée. La notification n'est toutefois pas obligatoire lorsque des mesures ont été prises pour s'assurer qu'aucun usage néfaste ne pourra viser la personne en question.
La souscription d'une assurance cyber-sécurité
La mise en place de technique de protection des données est de première importance pour éviter toute conséquence fâcheuse pour l'entreprise (piratage, sanction de la CNIL).
Toutefois, étant donné le développement de la cyber-criminalité et l'ingéniosité de certains pirates informatiques, certaines protections pourraient s'avérer insuffisante.
La souscription d'une assurance cyber-criminalité peut permettre la prise en charge de frais potentiellement très onéreux (reconstitution des données, remise en état d'un site internet, frais d'expertise) en cas d'attaque.
Vous l’aurez compris, il est aujourd’hui indispensable pour une entreprise de se pencher sur la question de la gestion des données personnelles de ses utilisateurs et clients !