En mai 2018, le nouveau Règlement Général sur la Protection des Données (ou GDPR) sera mis en œuvre. Par cette publication, l’Union Européenne souhaite donner aux citoyens le contrôle de leurs données personnelles, un pas en avant pour le droit au respect de la vie privée.
Le RGPD supplantera les multiples directives locales par une règle unique et uniforme, clarifiant ainsi les obligations en matière de confidentialité et de sécurité des organisations qui conservent et traitent des informations personnelles.
La nouvelle réglementation s’adresse non seulement aux organisations européennes, mais également à toutes les entreprises ou organismes qui détiennent des données de citoyens européens, peu importe leurs localisations.
Les obligations de conformité imposées par la RGPD sont strictes et les sanctions qui résulteraient de son non-respect ou d’une fuite de données sont sévères. Pourtant aujourd’hui, 68% des entreprises pensent qu’elles ne seront pas conformes à temps, selon une enquête de DMA (Direct Marketing Association).
Dans un contexte où le modèle des applications est en pleine expansion et que les gouvernements font évoluer leurs directives de protection des données personnelles, la case « sécurité » ne sera bientôt plus une option pour les applications mobiles, mais une nécessité.
Les articles 25, 32, 33, 34 et 35 du RGPD se concentrent sur des éléments applicables à la sécurité des applications, puisqu’ils mettent l’emphase sur le besoin de tester, prévenir et gérer les fuites de données.
ETAT DES LIEUX
Le nouveau règlement indique qu’une des premières étapes vers la conformité consiste en la réalisation d’un audit. Il s’agit de déterminer comment son entreprise protège et traite les données personnelles actuellement, de déterminer si cela correspond au RGDP et si ce n’est pas le cas, de déterminer un plan d’action.
Recommandation #1 : Effectuer un diagnostic du niveau de sécurité de leurs applications permettra aux organisations d’identifier leurs vulnérabilités et comportements cachés, et ainsi, de savoir si elles sont conformes ou non.
PROTECTION DES DONNEES DES LA CONCEPTION
Ce point constitue un des aspects les plus importants du nouveau RGPD. D’une part il est attendu des entreprises qu’elles incluent au processus de développement la protection des données des utilisateurs. D’autre part, elles doivent mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir que seules les données nécessaires soient collectées, traitées et conservées.
Recommandation #2 : En contexte de développement d’applications, inclure la sécurité et la confidentialité dès les premiers stades de développement s’impose comme une « best practice ». Utiliser une API de test de sécurité qui s’intègre aux plateformes de développement permettra aux développeurs d'auditer les niveaux de sécurité de leurs applications tout au long du processus de développement.
SECURITE ADAPTEE AU RISQUE
Le RGPD demande aux entreprises de déployer des mesures de protection calibrées en fonction du risque encouru et de la sensibilité des données à protéger. Les organisations devront mettre en place des procédures visant à tester, analyser et évaluer régulièrement leurs pratiques en matière de sécurité, afin d’assurer la confidentialité et l’intégrité du traitement des données.
Recommandation #3 : Différentes mesures de sécurité peuvent être intégrées aux applications, à savoir : le cryptage des données personnelles, la pseudonymisation ou encore l’intégration de SDK de self-protection aux codes des applications afin de les protéger contre les menaces provenant des terminaux sur lesquels elles sont installées, des applications tierces avec lesquelles elles cohabitent ou des connexions réseaux plus ou moins sécurisées.
EN CAS DE VIOLATION DE DONNEES
Lors d’une constatation de fuite de données, l’entreprise doit notifier l’autorité de contrôle compétente dans les 72h. Si cette fuite entraîne un risque élevé pour certains utilisateurs, elle a pour devoir de les prévenir également.
Il est aussi demandé aux organisations de garder un rapport interne des fuites et incidents qui pourraient compromettre des informations personnelles, ainsi que les étapes de remédiation engagées et les résultats obtenus.
Les fuites de données peuvent entraîner jusqu’à 20 millions d’euros de contravention, ou 4% du chiffre d’affaires annuel global de l’entreprise concernée (montant le plus élevé). Par exemple, Tesco Bank aurait risqué une amende de 2.2 milliards d’euros suite à son attaque fin 2016, si nous étions alors déjà soumis à la nouvelle réglementation.
Recommandation #4 : Les entreprises doivent enrichir leurs panoplies d’outils de surveillance afin d’assurer la traçabilité de leurs activités web et mobiles, principales sources d’attaque. Mettre en place ou enrichir une plateforme SOC (Security Operating Center) ou SIEM (Security Information and Event Management) permettra d'avoir des données à analyser et investiguer en cas de fuites. Il est également conseillé d’anticiper les procédures de déclaration de fuite de données.
LE PRIX DE LA NON-CONFORMITE
Toutes les entreprises dont les pratiques ne seront pas conformes à la RGPD à compter du 25 mai 2018 risquent jusqu’à 10 millions d’euros de contravention ou 2% de leur chiffre d’affaires global (montant le plus élevé).
Qui plus est, les organisations pénalisées devront faire face à la réaction de leurs clients et clients potentiels devant le constat d’un de vol de données sensibles et aux conséquences sur leur réputation.
Recommandation #5 : Le nouveau règlement demande de la transparence et des moyens de protection étendus, s’y préparer dès maintenant et engager les plans d’actions par anticipation améliorera les mesures de sécurité actuelles des organisations et leur assurera une conformité en toute serénité le moment venu.
Pour conclure, les exigences du RGDP apparaissent comme un recueil de bonnes pratiques de sécurité visant à protéger le citoyen européen et son patrimoine informationnel. Elles ne représentent rien de radicalement nouveau ou difficile pour Pradeo, puisque la protection des données a toujours été au cœur de notre activité. Notre technologie et nos outils aident les entreprises à rendre leurs activités mobiles conformes au nouveau règlement et facilitent leurs passages dans cette nouvelle aire de sécurité.