Les articles de votre blog ici ? Inscrivez votre blog !

Conformité au GDPR : comment être dans les temps ?

Publié le 16 novembre 2016 par Vincentpaes
Crédit : données informatiques par Shutterstock
Autres articles Même si la protection des données n’est qu’un volet d’un texte qui en comporte beaucoup d’autres (droit à l’oubli, portabilité des données, gestion des consentements…), en mai 2018, toute entreprise devra être en mesure de prouver à n’importe quel moment, que les données personnelles qu’elle détient (IBAN, numéros de téléphone, identifiants divers, etc.) sont protégées et surtout inexploitables en cas de vol. Le texte préconise à cet effet la « pseudonymisation » des données (c’est-à-dire les « anonymiser » de manière réversible) afin de garantir l’impossibilité de leur utilisation en cas de vol. Outre la complexité et le coût du développement d’une technologie permettant d’anonymiser les données, la conformité au GDPR a des impacts techniques, organisationnels et juridiques importants, ne serait-ce « que » pour la gestion des consentements et le droit à l’oubli.

Il faut répertorier les données, mesurer leur degré de sensibilité, mettre en œuvre des techniques permettant le niveau de protection correspondant à la finalité de leur traitement, etc. Tout ceci va bien sûr engendrer des charges importantes pour les DSI. Partir de zéro avec un délai de deux ans pour réussir est un challenge que seules les entreprises avec une DSI disponible vont pouvoir relever. Une DSI disponible ? Elle est déjà bien occupée à développer de nouveaux services, de nouvelles applications. C’est pourquoi, se reposer sur des outils et des services qui sont capables depuis des années de protéger des données sensibles de paiement en réalisant des centaines de millions d’opérations de tokenisation / dé-tokenisation par mois semble être une solution à privilégier. Pour les acteurs du paiement, la sécurité des données exigées par le GDPR n’est qu’une extension de ce qu’ils opèrent pour les données cartes depuis la mise en place de la norme PCI-DSS en 2006. Ce référentiel de sécurité peut d’ailleurs servir de guide pour la conformité GDPR. C’est pourquoi, les grands noms des services de paiement sont à même de fournir à toutes les sociétés qui traitent et stockent des données sensibles à caractère personnel, de les protéger par un process de tokenisation. Cette technique permet de les éliminer de leur système d’information en les pseudonymisant, c’est-à-dire les remplacer par des alias (tokens), tout en préservant les résultats de leurs traitements.

Dans une économie numérique qui pousse les cybercriminels à se réinventer pour dérober les informations les plus importantes, le GDPR instaure une nouvelle gouvernance des données, indispensable pour mieux respecter le consommateur et favoriser de nouvelles utilisations de celles-ci, génératrices de nouveaux services et de nouveaux usages. Outre le risque financier, l’objectif pour les entreprises est de fidéliser leurs clients et d’en conquérir de nouveaux en renforçant leur « capital confiance », au-delà de la mise en conformité avec ce nouveau règlement. Et c’est tout de suite qu’il faut s’y atteler pour transformer ces risques en opportunités !

A propos de l'auteur : Thierry Le Forban est Product Manager Security & Servicing chez Monext.