Conformité au GDPR : comment être dans les temps ?

16 Novembre 2016
Thierry Le Forban
Notez

Il a fallu plus de 4 ans de lutte politico – économique pour aboutir le 26 mai dernier à un règlement européen sur la protection des données personnelles. Mais ce sont moins de deux petites années qui sont laissées aux entreprises pour se mettre en conformité avec celui-ci. Moins de deux ans pour répondre à chacune de ses obligations. Moins de deux ans pour que les DSI se mettent en ordre de marche. Comment ? Voici quelques pistes.



Nous le savons tous, la transformation numérique a bouleversé et continue de bouleverser notre quotidien, nos modèles économiques et modifie nos échelles de temps. On ne parle plus que d’instantanéité, de prédiction et d’anticipation. Les technologies permettent de disposer de millions de « données consommateur », de les exploiter dans l’instant, et ainsi inciter à tel achat ou tel comportement. Ces données, nous les fournissons d’ailleurs volontairement ou involontairement à travers l’utilisation quotidienne de nos smartphones, tablettes, ordinateurs et de plus en plus d’objets connectés de toutes sortes. Mais que se passe-t-il si ces données, nos données, sont dérobées et exploitées ? Les conséquences peuvent être dévastatrices…tant pour le consommateur que pour l’entité qui les détient. Le GDPR, nouveau règlement européen, a notamment pour ambition de faire prendre conscience aux entreprises de la valeur des données personnelles et de les responsabiliser quant à leur utilisation et donc à leur protection...

Seulement deux ans pour se mettre en conformité

Même si la protection des données n’est qu’un volet d’un texte qui en comporte beaucoup d’autres (droit à l’oubli, portabilité des données, gestion des consentements…), en mai 2018, toute entreprise devra être en mesure de prouver à n’importe quel moment, que les données personnelles qu’elle détient (IBAN, numéros de téléphone, identifiants divers, etc.) sont protégées et surtout inexploitables en cas de vol. Le texte préconise à cet effet la « pseudonymisation » des données (c’est-à-dire les « anonymiser » de manière réversible) afin de garantir l’impossibilité de leur utilisation en cas de vol. Outre la complexité et le coût du développement d’une technologie permettant d’anonymiser les données, la conformité au GDPR a des impacts techniques, organisationnels et juridiques importants, ne serait-ce « que » pour la gestion des consentements et le droit à l’oubli.

Il faut répertorier les données, mesurer leur degré de sensibilité, mettre en œuvre des techniques permettant le niveau de protection correspondant à la finalité de leur traitement, etc. Tout ceci va bien sûr engendrer des charges importantes pour les DSI. Partir de zéro avec un délai de deux ans pour réussir est un challenge que seules les entreprises avec une DSI disponible vont pouvoir relever. Une DSI disponible ? Elle est déjà bien occupée à développer de nouveaux services, de nouvelles applications. C’est pourquoi, se reposer sur des outils et des services qui sont capables depuis des années de protéger des données sensibles de paiement en réalisant des centaines de millions d’opérations de tokenisation / dé-tokenisation par mois semble être une solution à privilégier.

L’expérience de la tokenisation des données de paiement au service des données personnelles

Pour les acteurs du paiement, la sécurité des données exigées par le GDPR n’est qu’une extension de ce qu’ils opèrent pour les données cartes depuis la mise en place de la norme PCI-DSS en 2006. Ce référentiel de sécurité peut d’ailleurs servir de guide pour la conformité GDPR. C’est pourquoi, les grands noms des services de paiement sont à même de fournir à toutes les sociétés qui traitent et stockent des données sensibles à caractère personnel, de les protéger par un process de tokenisation. Cette technique permet de les éliminer de leur système d’information en les pseudonymisant, c’est-à-dire les remplacer par des alias (tokens), tout en préservant les résultats de leurs traitements.

Dans une économie numérique qui pousse les cybercriminels à se réinventer pour dérober les informations les plus importantes, le GDPR instaure une nouvelle gouvernance des données, indispensable pour mieux respecter le consommateur et favoriser de nouvelles utilisations de celles-ci, génératrices de nouveaux services et de nouveaux usages. Outre le risque financier, l’objectif pour les entreprises est de fidéliser leurs clients et d’en conquérir de nouveaux en renforçant leur « capital confiance », au-delà de la mise en conformité avec ce nouveau règlement. Et c’est tout de suite qu’il faut s’y atteler pour transformer ces risques en opportunités !

A propos de l'auteur : Thierry Le Forban est Product Manager Security & Servicing chez Monext.


Tags : Données, GDPR
Thierry Le Forban

Nouveau commentaire :
Facebook Twitter




Regroupement de crédit sur rachat-credit-entre-particulier.com
La loi Hamon




Facebook
Twitter
Viadeo
Mobile
Rss

Inscription à la newsletter



Ce que va changer le règlement européen sur les données personnelles ?: Le Règlement... https://t.co/g0v2dDD3dB https://t.co/bhbid8V8eg
Jeudi 22 Juin - 12:20
La croissance des prestations sociales au niveau le plus bas depuis 1959: La Direction... https://t.co/y7QuppJJxQ https://t.co/dI6zPkiApa
Jeudi 22 Juin - 12:09
Royaume-Uni : l'inflation s'envole: Hausse de l’inflation, dépréciation de la livre sterling, stagnation des... https://t.co/70FoQh92vY
Mercredi 21 Juin - 12:23
La France et l'Intelligence artificielle : relever le défi de la compétitivité: La... https://t.co/HM07Y7bpKe https://t.co/7Foc2KRTeQ
Mardi 13 Juin - 16:50





Lexique de Sciences économiques et sociales


À vous de jouer...

Vous aimez écrire ? décrypter l'actualité économique ? et donner votre point de vue ? Alors soumettez vos articles à Économie et société. Pour cela, envoyez vos propositions à redaction@economieetsociete.com