GDPR-impacts SI

GDPR et LPD induisent des impacts au niveau de l’organisation et de la gouvernance (DPO) et des processus métier qui doivent intégrer les nouvelles exigences en matière de traitement et protection des données. Mais c’est au plan du SI que les impacts seront les plus lourds et les plus longs à traiter.

GDPR : une orientation vers l’opt-in

GDPR et LPD nous font basculer de l’ « opt-out » vers l’ « opt-in ». Jusqu’à maintenant, il suffisait de laisser la possibilité au data subject* de se manifester pour demander le retrait de ses informations ou son exclusion d’un traitement, sans exigence de délai. Son consentement pour tout traitement était donc implicite :

  • en approuvant des termes généraux de confidentialité, de conditions commerciales
  • ou simplement en acceptant les cookies sur votre site.

Les nouvelles réglementations prévoient au contraire d’exiger un consentement explicite pour tout stockage d’information et toute utilisation qui en sera faite. Ce consentement sera limité dans le temps et devra être spécifique. Chaque nouveau traitement ne pourra être fait qu’avec le nouvel accord explicite du data subject et toute détention d’information personnelle devra pouvoir être justifiée.

*data subject : personne concernée

Quels attributs devront porter les données ?

En termes de SI, ceci signifie que toute donnée saisie par le data subject devra dorénavant porter les attributs suivants :

  • Information sur à quoi servira cette information et dans quels traitements elle sera impliquée
  • Traitements dans lesquels la donnée est utilisée – avec vérification de l’accord explicite à chaque exécution de chaque traitement
  • Acceptation ou refus : statut du consentement explicite, date de l’accord et date de péremption
  • Identité du data subject ayant donné l’accord – parents/tuteur légal pour les mineurs (ce qui implique de gérer ce lien entre utilisateurs) – preuve de l’identité

Quels seront les impacts de GDPR sur le SI ?

GDPR et LPD prévoient de plus que les data subjects puissent exercer un certain nombre de droits fondamentaux. Ces droits peuvent être les droits d’accès et de rectification ou droits à l’oubli et portabilité dans des délais d’1 mois pour certaines demandes.

Ceci impose d’un point de vue SI :

  • que les processus de traitement de ces demandes soient automatisés tant que faire se peut d’une part
  • qu’il soit possible d’identifier directement l’ensemble des données personnelles se rapportant à un data subject donné.

GDPR-impacts

Un Personal Data repository pour les données clients et employés deviennent incontournables (voire un Master Data Management dans certains cas). Cela afin de rendre possible l’exécution de ces demandes et une bonne gestion coordonnée des données personnelles et des traitements s’y appliquant.

Exécuter une telle requête aujourd’hui au sein d’un SI siloté et dans lequel les données sont répliquées au sein de N référentiels gérés par des métiers ne fonctionnant pas de concert serait extrêmement énergivore voire quasi impossible… pour la plus grande joie d’employés ou de clients mécontents souhaitant de cette manière vous mettre en difficulté !

Qu’en est-il de la sécurité des données personnelles ?

La garantie de la sécurité des données personnelles est un autre point fort de GDPR / LPD. Au-delà d’avoir pris toutes les mesures préventives nécessaires et de savoir en justifier, il s’agira d’être en mesure d’informer sous 72 heures votre autorité de supervision en cas de compromission/perte/vol de données et d’en informer également le data subject s’il s’agit de données sensibles.

Aujourd’hui, un vol de données est détecté en moyenne au bout de 150 jours s’il s’agit d’une attaque ciblée silencieuse, c’est-à-dire dont le but n’est pas de faire un coup d’éclat mais davantage de tirer profit des données volées (Rapport M-trends 2016 de Mandiant). Ces 150 jours correspondent bien souvent au délai nécessaire pour que le propriétaire des données ou un tiers se rende compte du méfait et se retourne vers le détenteur chez qui le vol a été commis…

Pour une grande majorité d’entreprises, la sécurité des données (pas que personnelles) doit être sérieusement musclée – il s’agit quasiment d’entrer en guerre :

  • Prévenir les risques en renforçant les systèmes de protection (test d’intrusion, audits etc…)
  • Améliorer la détection des attaques et des comportements suspects (intelligence artificielle pour l’analyse des logs et recherche de « patterns » de fraude par exemple)
  • Minimiser les dégâts lorsque les données sont effectivement volées (encryption, pseudonymisation, etc…)
  • Identifier et bloquer les attaquants (pièges de type canaris et pots de miel, etc… permettant de tracer l’origine de tentatives d’intrusion)

GDPR et LPD vont donc forcer les entreprises à revoir en profondeur leur gestion :

  • Des données (personnelles en premier plan)
  • Des traitements effectués sur les données personnelles le cas échéant
  • De l’architecture de leur SI à moyen terme
  • Mais surtout leur approche en matière de sécurité IT à court terme.

Lire d’autres articles concernant GDPR sur notre blog Redsen :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Voir plus
scroll to top