Le compte à rebours est lancé. Avec la future entrée en vigueur, le 25 mai 2018, du règlement européen sur la protection des données personnelles, autrement appelé General Data Protection Regulation (GDPR), les organisations, quelle que soit leur taille ou leur secteur d’activité, se sont lancées dans une course à la mise en conformité de leurs outils et dispositifs de gestion des données personnelles.
Les chantiers qui s’ouvrent pour l’immense majorité des entreprises peuvent sembler insurmontables dans un délai si court. Si les grandes entreprises et fournisseurs de services se sont dotés depuis des mois d’outils leur permettant une transition en douceur vers le nouveau régime qu’initiera GDPR, les petites et moyennes entreprises font face à des défis de taille, qu’il leur est néanmoins possible de relever grâce à des solutions comme l’hébergement en colocation.
De nouvelles obligations pour l’ensemble des opérateurs de données
GDPR va opérer un véritable changement dans le rapport aux données personnelles ; peut-être même peut-on parler de révolution. En effet, le règlement ouvre non seulement de nouveaux droits pour les consommateurs – à la portabilité, à l’oubli/effacement, etc. – mais surtout de nouvelles obligations pour les opérateurs traitant des données personnelles, au premier rang desquels les entreprises. Parmi elles, on mentionnera notamment le renversement de la charge de la preuve : il ne s’agira plus pour les consommateurs de prouver que leurs données personnelles ont été exploitées à tort ou de manière abusive, mais aux opérateurs de données de prouver qu’ils respectent les dispositions du règlement, selon un principe nouveau de responsabilisation et de transparence, qui vient remplacer le dispositif de formalités préalables. S’ajoutent à cela des éléments qui ne sont pas sans impact sur l’image et la réputation des entreprises, comme l’obligation de signaler aux autorités toute faille de sécurité dans les 72h de sa détection, l’encadrement des transferts de données vers les tiers, la mise en place d’une longue liste de mesures de protection, d’études d’impact, y compris le cryptage et la pseudonymisation des données personnelles… Sans compter que GDPR s’appliquera non seulement aux entreprises présentes sur le territoire européen, mais également à celles qui, n’étant pas établies sur le territoire européen, traitent néanmoins des données de personnes qui s’y trouvent.
Un défi de taille, tout particulièrement pour les petites et moyennes entreprises
Ces nouveaux impératifs doivent être pris en compte, analysés et mis en œuvre avec la plus grande rigueur par l’ensemble des opérateurs de données personnelles : les amendes infligées en cas de non-respect pourront atteindre 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros. Et c’est également l’entreprise qui devra indemniser toute personne lésée matériellement ou moralement par un traitement non conforme de ses données, sans plafonnement.
GDPR distingue deux types d’opérateurs de données : les entreprises exploitant elles-mêmes les données et les fournisseurs de services, par exemple les opérateurs de cloud auxquels les entreprises sous-traitent la gestion de leurs données. La responsabilité finale de la sécurité des données tout au long de la chaîne de valeur repose sur les entreprises « commanditaires », mais en cas de faille de sécurité, les fournisseurs de services peuvent également être tenus pour responsables si la faille est issue de leurs systèmes.
Si toutes les entreprises sont concernées par GDPR et doivent faire face aux évolutions internes que son entrée en vigueur va nécessiter, il est possible que les grandes entreprises puissent gérer elles-mêmes les problématiques liées à la gestion des clés de chiffrement de leurs données, par des mécanismes proposés par des solutions de type Hardware Security Module (HSM) et systèmes de Cloud Access Security Broker (CASB). Ce sont donc tout particulièrement les petites et moyennes entreprises qui devront s’assurer de prendre à temps le virage qu’impose GDPR, elles qui n’ont pas nécessairement les ressources humaines pour conduire et gérer seules ce changement d’ère.
La colocation, un environnement conforme aux obligations du GDPR
L’hébergement en colocation, ou partage par plusieurs entreprises d’un même data center géré par un fournisseur de services, permet aux entreprises de protéger leurs données au sein d’une infrastructure résiliente et sûre. Cet environnement, garantissant sécurité et efficacité grâce à l’expertise des gestionnaires de data centers, respecte les standards industriels les plus stricts en matière de protection physique.
Afin de bénéficier de tous les avantages de la colocation, les entreprises doivent identifier les gestionnaires de data centers leur proposant l’accès le plus direct aux principales plates-formes de cloud. Ceci leur permet ainsi de créer des architectures hybrides de protection de données, stockées à la fois dans et hors du cloud public.
En plus d’une sécurité physique accrue, dont les impératifs seront encore renforcés avec l’entrée en vigueur de GDPR, le deuxième atout notable de la colocation est d’offrir aux entreprises un accès privilégié à une vaste gamme de services, et notamment la mise en relation avec un écosystème de clients, fournisseurs ou partenaires. Ainsi, dans le cadre de GDPR, les entreprises en colocation peuvent trouver sur le même campus de data centers des fournisseurs de services à même de gérer des solutions HSM tout en s’assurant d’une performance optimale. De même, héberger en colocation une solution CASB permet à l’entreprise de bénéficier d’une haute performance et d’une connectivité sécurisée vers de multiples plates-formes de cloud, à un coût optimisé.
Ainsi, la mise en conformité avec les dispositions de GDPR peut ainsi devenir bien plus qu’une simple contrainte : c’est une opportunité formidable pour les entreprises qui souhaitent moderniser et professionnaliser leur mode de gestion et d’exploitation des données personnelles.
Le choix de la colocation peut leur permettre de répondre à plusieurs objectifs fondamentaux, si elles souhaitent envisager avec confiance l’entrée en vigueur de GDPR : mieux protéger les données, rationnaliser les coûts et préserver leur image.
