La GDPR en quatre étapes. Microsoft balise le parcours
GDPR : un nécessaire travail de préparation. Quant aux ressources, en particulier les outils, elles sont disponibles.
«La GDPR nécessite du temps, des outils, des processus et de l’expertise, avance Benoit Fortemps, Technology Strategist, Microsoft Luxembourg. Pour ce faire, peut-être qu’il faudra aussi envisager de modifier les pratiques de confidentialité et de gestion des données…»
Et de proposer d’avancer par étapes : découvrir, gérer, protéger et rapporter. Quatre étapes logiques, reflétées dans les technologies de Microsoft, de Microsoft Azure à Windows Server en passant par Office 365 et SQL Server pour ne citer qu’eux. Soit l’ensemble le plus complet d’offres de conformité de tout fournisseur de services cloud. «Notre engagement envers la vie privée est fondamental dans notre approche », a déclaré Benoit Fortemps au cours de l’événement IT, Powering Business & Compliance organisé à Luxembourg par Rgroupe. «Nous avons par exemple, dès sa publication, adopté la norme de protection des données à caractère personnel, 27018 de l’ISO. Tout comme les Model Clauses européennes régissant le transfert de données en dehors de l’Union européenne. Microsoft met en œuvre une politique volontariste de certification de ses services cloud et veut être le leader en matière d’adoption des standards du marché.»
En matière de sécurité, la visibilité unique de Microsoft dans l’évolution du paysage des menaces peut également aider à protéger les données qui transitent par les systèmes de ses clients. Son empreinte sur le cloud comprend plus de 100 datacenters et plus de 200 services de cloud computing. «Cette focalisation sur la vie privée et la sécurité reflète la conviction que notre entreprise repose finalement sur la confiance de nos clients et nous travaillons dur pour gagner et préserver cette confiance. C’est pourquoi Microsoft s’est engagée à vouloir respecter la GDPR sur l’ensemble de nos services cloud proposés à nos clients européens.»
La GDPR en quatre étapes clés
> Première étape, découvrir. Déterminer, pour commencer si le nouveau règlement s’applique à l’entreprise et, plus encore, dans quelle mesure. Il s’agira donc de dresser l’inventaire des données -toutes les données s’entend, sous quelque forme soient-elles.
> Deuxième étape, gérer. Une gestion efficace concerne à la fois la gouvernance des données et la classification de celles-ci. Le plan de gouvernance permettra d’établir les stratégies, rôles et responsabilités pour les accès, la gestion et l’utilisation des données personnelles. Quant à l’adoption d’un modèle de classification, il s’avèrera particulièrement utile pour répondre aux requêtes des sujets des données.
> Troisième étape, protéger. Soit prendre des mesures techniques et structurelles appropriées afin de protéger les données personnelles contre toute perte, tout accès non autorisé ou toute divulgation. Sur de nombreux aspects, le cloud est plus sécurisé que les environnements informatiques sur site, du fait d’une surveillance physique permanente et de contrôles d’accès stricts.
> Quatrième étape, rapporter. Il s’agit de renforcer sa transparence, non seulement sur la façon dont l’entreprise traite les données personnelles, mais également sur la façon dont elle conserve la documentation qui définit ses processus et l’utilisation des données personnelles. L’une des façons d’y parvenir consiste à utiliser des outils d’audit. Ceux-ci peuvent garantir le suivi et l’enregistrement de toute opération de traitement des données : collecte, utilisation, partage, etc.
Vers une Convention de Genève numérique
Benoit Fortemps reprend l’appel de Brad Smith, Président et Chief Legal Officer de Microsoft, qui plaide pour l’établissement de règles internationales concernant les «cyberattaques» menées par des organisations gouvernementales ou privées, en suivant l’exemple des conventions de Genève adoptées en 1949, au lendemain de la Seconde Guerre mondiale. Ces conventions établissent les principes à suivre en période de conflits armés (de la protection des civils à celle des blessés en passant par celle des aides humanitaires et des prisonniers de guerre). La convention proposée par Brad Smith s’appliquerait aux attaques numériques et à leurs conséquences contre les civils.