Le RGPD ne va pas sans un ordinateur portable sécurisé

Le RGPD entrera en vigueur dans un peu plus de 6 mois. Il instaurera un cadre européen qui oblige les entreprises à se pencher sur la protection des données. Bien plus qu’une question de sécurité, il s’agit surtout de gérer les risques. Et comme tout le monde le sait, le plus grand risque n’est autre que l’être humain. Une approche pragmatique du RGPD implique donc en grande partie l’utilisateur final et la manière dont il traite les données.

Le 28 mai 2018, jour fatidique. Dès cette date, le RGPD (Règlement général sur la protection des données) entrera en vigueur dans l’ensemble de l’Union européenne. Cette réglementation fixe un nouveau cadre pour la protection et l’échange de données à caractère personnel. Aucune organisation n’y échappera : de la multinationale à la PME, en passant par l’ASBL qui gère le club de football local. Logique, car toutes les organisations disposent des données personnelles de leurs collaborateurs, clients et fournisseurs. Le RGPD concerne toutes les informations relatives à une ” personne physique identifiée ou identifiable ” résidant en Europe.

Les données en soi sont importantes, mais ce qu’en fait l’organisation l’est tout autant. Lorsqu’une personne traite avec des collaborateurs, des clients et des fournisseurs, elle rassemble, enregistre et partage des données relatives aux personnes. Le RGPD fixe désormais un cadre clair à ce niveau. Pour faire simple, le RGPD vise à protéger la vie privée du citoyen. Cette législation a pour objectif d’empêcher quiconque d’exploiter des données confidentielles d’une manière ou à des fins que le citoyen concerné n’a pas autorisées. Un point crucial : le législateur engage, dans ce cas, la responsabilité de l’entreprise qui gère les données.

Qui, quoi, où ?

Dans la pratique, le RGPD s’accompagne de nouvelles obligations pour les entreprises. Toutes les entreprises sont tenues de réaliser un audit interne avant le 28 mai. L’objectif consiste à faire le point sur la situation actuelle. Les données sont souvent dispersées au sein de l’entreprise, dans les systèmes RH, ERP, CRM, sur les boîtes de messagerie et dans les applications de gestion documentaire. Certaines données se trouvent également sur les ordinateurs portables, les smartphones, les clés USB, etc. De quelles données s’agit-il précisément ? Sur quels systèmes ? Qui a accès à ces données ? Dans un deuxième temps, l’organisation devra prendre des mesures de sécurité concernant l’accès à ces données et leur utilisation. L’objectif est clair : limiter autant que possible les risques de perte intentionnelle ou non et de vol de données.

Si un incident impliquant la perte de données survient malgré tout, l’organisation devra alors lancer un plan d’urgence. Si certaines informations confidentielles sont compromises, le RGPD oblige l’organisation à signaler l’incident dans les 72 heures. Le RGPD se base également sur le concept de ” protection de la vie privée par défaut ” (privacy by default) pour le développement de nouveaux produits et services. Ce concept met un frein à l’utilisation impropre ou inutile de données confidentielles. Le RGPD prescrit également la ” protection de la vie privée dès la conception ” (privacy by design). Concrètement, l’organisation doit tenir compte des prescriptions du RGPD lors du développement de produits et services. Afin d’imposer avec succès ce nouveau cadre, l’Europe promet des amendes sévères aux contrevenants : jusqu’à 2 % du chiffre d’affaires (avec un plafond de dix millions d’euros) en cas d’infraction au RGPD et jusqu’à 4 % du chiffre d’affaires (maximum vingt millions d’euros) en cas de fuite de données.

Approche pragmatique

Le RGPD fixe avant tout un cadre légal. La loi ne prévoit rien quant à la manière concrète de remplir ces nouvelles obligations. En dépit de son lien avec le secteur informatique, le RGPD concerne avant tout la gestion des risques. Quels risques l’entreprise est-elle prête à prendre ? Une fuite de données nuit en effet à la réputation de l’entreprise, mais est aussi susceptible d’engendrer une amende. De même, l’organisation peut envisager ce raisonnement dans l’autre sens : si elle se met en règle avec les prescriptions du RGPD, elle peut jouer cette carte et s’en servir comme une opportunité sur le marché. Une entreprise qui montre l’exemple en termes de protection des données gagnera plus rapidement la confiance de ses clients et partenaires.

Il incombe donc aux organisations de couvrir les risques de fuites de données de manière extrêmement pragmatique. Les fournisseurs de logiciels et de matériel informatique surfent évidemment sur cette tendance. Avec l’EliteBook x360, le modèle haut de gamme des convertibles professionnels, HP mise indéniablement sur la sécurité. L’utilisateur se connecte via une authentification multifactorielle, basée sur la reconnaissance faciale, de l’iris et de l’empreinte digitale. Il devient ainsi pratiquement impossible de pénétrer dans le système d’un appareil perdu ou volé. Mieux encore : lorsque l’ordinateur détecte une menace, HP SureStart réinitialise automatiquement le BIOS. La marque prouve également que la protection de données confidentielles n’est pas toujours synonyme de complexité. Pour éviter que l’écran soit exposé aux regards indiscrets, HP a doté l’EliteBook x360 d’un écran de confidentialité Sure View. Ce système assombrit la dalle lorsqu’on la regarde de côté : vos voisins ne voient donc pas le contenu de l’écran quand vous êtes dans le train ou au bureau. Cet exemple illustre bien la façon dont une organisation peut aborder, de manière très pratique, le risque de fuites de données : en commençant par fournir des appareils sécurisés à ses collaborateurs…