clés, sécurité

GDPR : les clés d’une sauvegarde de données conforme (avis d’expert)

Contrôle de la localisation et chiffrement font partie des éléments clés d’une sauvegarde conforme au Règlement général sur la protection des données (GDPR), selon Acronis.

Le Règlement général sur la protection des données (RGPD ou GDPR en anglais) entre en vigueur le 25 mai 2018 et s’appliquera à toute entreprise opérant au sein de l’Union européenne ou traitant avec des clients basés dans l’UE. Il remplace la directive européenne de protection des données adoptée en 1995. Et ce avec l’objectif d’harmoniser les lois de protection des données personnelles des citoyens de l’Union européenne.

Connaître les principales exigences du GDPR

Le GDPR impose à toute entreprise opérant dans l’UE ou à toute entreprise étrangère traitant avec des clients de l’UE de stocker et traiter toutes les données personnelles dans les limites des frontières européennes. Sauf consentement explicite de la personne concernée à ce que ses données soient conservées en dehors de l’UE.

Samy Reguieg_Acronis
Samy Reguieg_Acronis

Les données personnelles ne peuvent être conservées plus longtemps que la période de rétention convenue initialement. Elles doivent être protégées conformément aux nouvelles règles. Le responsable du traitement et le sous-traitant sont tenus de « mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque ». Y compris pour le chiffrement des données et leur pseudonymisation (« de manière à ce que les données ne puissent plus être rattachées à un individu sans être recoupées avec d’autres informations ».)

Le GDPR prévoit aussi un mécanisme de reporting pour aider le responsable du traitement à identifier les données personnelles stockées sur ses serveurs. Et à confirmer, sur demande, le lieu du stockage, les conditions de chiffrement et la suppression des données.

Des mesures doivent également être prises pour permettre à des auditeurs externes de vérifier ces rapports.

Appréhender la relation fournisseur de stockage Cloud

Le GDPR impose de nouvelles obligations de sécurité et contractuelles aux organisations (responsables du traitement) amenées à traiter avec des fournisseurs de services Cloud et des fournisseurs de technologies de protection des données (sous-traitants).

Voici, une synthèse des relations entre responsables du traitement et sous-traitants :

– Les fournisseurs de services Cloud doivent apporter des garanties suffisantes sur la conformité du service aux exigences techniques et organisationnelles du GDPR.
– Les contrats de service entre le responsable du traitement et le sous-traitant interdisent le recours à d’autres sous-traitants sans le consentement préalable du responsable du traitement lui-même.
– À l’expiration du contrat de service, toutes les données doivent être supprimées du Cloud et le sous-traitant doit apporter les preuves suffisantes que c’est bien le cas.
– Les responsables du traitement ont l’obligation de rendre compte de tout incident de fuite de données à l’autorité réglementaire.

Optimiser la conformité du stockage au GDPR

Il existe de nombreux outils de protection des données sur le marché. Certaines fonctionnalités peuvent optimiser plus facilement la mise en conformité des entreprises avec le GDPR, parmi lesquelles :

– La localisation du stockage des données. Les solutions doivent permettre de contrôler où les données sont stockées, sur site ou dans un datacenter spécifique basé en Europe.
– Le chiffrement des données au repos, en transit et dans le Cloud est essentiel. Et l’entreprise doit détenir la clé.
– La recherche de données dans les sauvegardes pour trouver l’information voulue.
– La possibilité de modifier les données personnelles des individus concernés.
– L’exportation des données dans un format courant facile à utiliser (une archive ZIP, par exemple).
– La restauration rapide des données en cas d’incident (incendie, cyberattaque, etc.).
– La protection active contre les attaques par ransomware et la possibilité d’une restauration instantanée des données affectées.
– Une certification des données basée sur la technologie blockchain.

La mise en conformité avec le GDPR est donc l’occasion pour les entreprises de revoir les solutions en place. Pour remplacer certaines d’entre-elles, si besoin, et faciliter une mise en conformité durable, il convient d’étudier et d’envisager les solutions et technologies les plus pertinentes. L’objectif étant de garantir la meilleure protection des données, en conformité avec les obligations réglementaires du GDPR.

Par Samy Reguieg, directeur général France d’Acronis, éditeur de logiciels de sauvegarde, protection des données et reprise d’activité.

Lire également :

L’énigme de la conformité au règlement GDPR : où commencer ? (avis d’expert)

WannaCry et (Not)Petya : faut-il repenser la sécurité informatique ? (avis d’expert)

TAGS ASSOCIÉS