Tout d’abord, depuis mai 2018 l’ensemble des sociétés traitant des données à caractère personnelle des européens doivent respecter la loi RGPD (Règlement Général sur la Protection des Données). Il s’agit là de mettre en place les mécanismes de suivi, d’organisation et de sécurisation des données collectées permettant d’identifier un individu. Ceci sur toute la chaîne par laquelle transite la donnée, incluant également les sous-traitants. Pour cela, vous pouvez réaliser un audit RGPD pour assurer conformité.
Tout d’abord, la loi RGPD impose principalement aux entreprises de :
- Tenir un registre de traitement en y déclarant toutes les activités de l’entreprise manipulant de la donnée
- Sécuriser la donnée, notamment la donnée utilisateur et d’identification
- Effectuer une analyse d’impact de la protection de la donnée (AIPD) sur les traitements dont le risque d’atteinte aux droits et libertés des personnes est élevé.
- Informer l’utilisateur de ce qui est fait de ses données
- Notifier la CNIL, et éventuellement les personnes concernées, les violations de données à caractère personnel
- Nommer un DPO (Délégué à la Protection des Données) garant du respect de la loi RGPD au sein de l’entreprise
Ainsi, il convient à toute entreprise concernée de s’être préparé et de maintenir ce fonctionnement au quotidien dans l’organisation.
Localiser la donnée : un véritable enjeu pour les DSI
Une difficulté rencontrée par les entreprises désireuses de se conformer au RGPD est d’identifier tous les emplacements au sein du Système d’Information où de la donnée personnelle est présente. En effet, les architectures existantes sont parfois (très) anciennes et imparfaites. De plus, la quantité de personnels IT est souvent limitée. Ces 2 facteurs empêchaient déjà de maîtriser son existant avant l’audit RGPD, l’obligation contraint à présent les entreprises de trouver des solutions à cette problématique.
Cette étape de localisation de données est néanmoins indispensable. En premier lieu pour créer le registre de traitement, il faut pour chaque activité de l’entreprise, identifier les données à caractère personnel utilisées. Le flux de la donnée doit être maîtrisé, depuis sa collecte jusqu’à ses emplacements de stockage dans le système d’information ou chez les sous-traitants.
Localiser la donnée est également indispensable pour la sécuriser comme l’impose le RGPD et éviter toute violation. Il va de soi qu’une donnée non localisée est par conséquent non-maitrisée et donc non-sécurisée.
Pour accompagner les entreprises dans cette obligation, la CNIL a publié un guide de la sécurité des données personnelles.
Ce guide couvre à la fois les aspects organisationnels et techniques. Le respect de ce guide ne constitue pas une garantie de conformité à l’audit RGPD, mais apporte un ensemble de bonnes pratiques à respecter pour s’assurer d’une bonne sécurisation des données.
La CNIL ne fournit cependant aucune aide pour localiser les données personnelles et éviter les absences dans le registre de traitement. Ce travail est à réaliser en pleine conscience par l’entreprise pour éviter toute fuite de donnée.
Où chercher pour trouver l’exhaustivité des données personnelles ?
Voici la suite des actions à mener pour localiser les données personnelles sans oubli.
1. Inventorier l’entièreté de son infrastructure et des équipements stockant potentiellement de la donnée
C’est la première étape, primordiale. Quels équipements composent mon infrastructure et lesquels sont des équipements amenés à stocker de la donnée utilisateur ? Il faut ici récupérer la liste de ses serveurs, postes de travail, tablettes, baies de stockage, SAN, NAS, serveurs de backup… Le tout sur l’ensemble de ses réseaux.
2. Effectuer une cartographie applicative
Récupérer la liste de toutes les applications métiers installées sur les PC et sur les serveurs pouvant manipuler de la donnée utilisateur.
3. Inventorier les bases de données
Lister toutes les bases de données installées sur l’infrastructure pour cibler où trouver de la donnée personnelle.
Cette étape répond à la question « Où sont mes données ? ».
4. Inventorier les partages réseaux
Identifier tous les lecteurs réseaux et dossiers partagés sur les serveurs et sur les postes. Ils peuvent contenir des fichiers et des listes de données à caractère personnel.
Cette étape répond également à la question « Où sont mes données ? ».
5. Inventorier les applications Cloud
Identifier les applications Cloud utilisées par l’entreprise et particulièrement celles de stockage : Google Drive, Dropbox, OneDrive…
Cela répond à la question « Où vont mes données ? ».
Il est intéressant ici de scanner les postes des utilisateurs pour identifier si des applications Cloud non-validées par l’entreprise sont utilisées avec, de fait, une éventuelle fuite de données personnelles.
6. Inventorier les utilisateurs, les groupes et les autorisations d’accès.
Pour chaque élément des 5 premières étapes, l’idée est de récupérer les utilisateurs qui ont des accès et leur niveau d’autorisation. Cela nécessite de parcourir à la fois l’annuaire LDAP, s’il y en a un, ainsi que les comptes locaux sur les machines, les applications, les bases de données et les partages réseaux.
7. S’assurer que les sous-traitants appliquent cette même démarche.
Enfin, si le flux de la donnée l’amène sur des systèmes non-propriétaires de la société traitant avec l’utilisateur (emplacement Cloud par exemple), il s’agira de s’assurer que chaque sous-traitant concerné ait également effectué ce travail de recherche puis de sécurisation de la donnée.
Une fois que la liste des emplacements de stockage de données est exhaustive, l’étape suivante est d’identifier pour chaque emplacement les données utilisateurs puis plus précisément les données à caractère personnel. Enfin il faudra mapper ces données avec les traitements métiers pour compléter ensuite le registre de traitement des données.
Ce travail final se fait via 2 approches :
- Top-Down : Partir du traitement métier et descendre dans l’architecture des composants du service concerné pour en déduire les emplacements de stockage
- Bottom-Up : Se baser sur les emplacements de stockage et remonter l’infrastructure pour trouver quels traitements métiers utilisent cet emplacement
Industrialiser pour collecter en continu
Vous l’aurez compris, la démarche à réaliser pour localiser la donnée personnelle perdue dans le SI peut s’avérer fastidieuse et les risques d’oublis sont élevés, surtout si la collecte est réalisée manuellement.
L’outil Corrium répond à cette problématique en collectant en automatique la donnée sur l’ensemble des équipements et fournit des rapports permettant à l’IT d’agir tout de suite pour traiter ces données personnelles. Enfin, l’offre d’audit en continu permettra de répéter cette opération tous les trimestres pour s’assurer de ne manquer aucune donnée à caractère personnel.
Ainsi, Corrium réalise un pré-audit RGPD pour vous conformer à la réglementation.