Conformité des PME en matière de conservation des données

Télécharger la version PDF

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne vise à renforcer la protection des données relatives à tous les citoyens et résidents européens, et à unifier ce processus.

Il concerne également le transfert d’informations hors de l’Union et s’applique aux organisations du monde entier qui conservent les données de tels individus.

Son objectif principal est de rendre ces derniers maîtres de leurs détails personnels et de simplifier le cadre réglementaire en harmonisant les prérogatives.

Il comporte principalement des informations sur la manière dont les données à caractère personnel doivent être gérées, et définit le rôle associé de gestionnaire et contrôleur. Enfin, il évoque diverses méthodes visant à favoriser sécurité et confidentialité.

Le RGPD entrera en vigueur le 25 mai 2018.

Les enjeux du RGDP

Les petites et moyennes entreprises (ou « PME ») sont tenues de protéger les données des citoyens ou résidents de l’Union européenne dont elles disposent.

Ces informations doivent être conservées de façon précise, de sorte à éviter les vols et les utilisations frauduleuses.

Les PME sont également invitées à respecter les droits des personnes concernées, à savoir :

  • Le droit d’être informé de la manière dont les données sont traitées ;
  • Le droit d’accéder à ses données ;
  • Le droit de demander à ce que ses données soient modifiées ou supprimées ;
  • Le droit de faire transmettre ses données à une autre organisation.

Le concept de « rétention des données » est également un facteur important. Certaines données doivent être détruites après une période spécifique, notamment celles recueillies lors de l’achat d’un produit sous garantie.

D’autres, par ailleurs, doivent être conservées pendant une durée minimale, comme les données à caractère financier.

En pratique, les PME doivent être en mesure de répondre aux demandes et d’indiquer où les données sont conservées, le tout dans les meilleurs délais.

Les organisations qui ne se conforment pas au RGPD courent des risques élevés en cas d’atteinte grave à la sécurité.

Les sanctions financières prévues peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel de l’entreprise en question, le montant le plus élevé étant retenu.

Conformité au RGPD

La plupart des organisations font le maximum pour répondre aux exigences du RGPD, car parfaitement conscientes des implications.

Toutefois, ce n’est pas le cas de toutes les PME.

Certains dirigeants peuvent penser que cette réglementation s’adresse principalement aux grandes entités qui collectent et exploitent des volumes élevés de données à caractère personnel comme, par exemple, celles spécialisées dans les réseaux sociaux, les services dans le cloud ou les moteurs de recherche.

Beaucoup attendent de voir ce qu’il se produit lorsqu’une structure similaire enfreint la loi.

Ce comportement peut être dangereux en raison du risque, bien réel, d’insolvabilité ou de fermeture définitive provoqué par l’application des sanctions.

Le RGPD concerne toutes les sociétés, qu’importe leur taille ou leur chiffre d’affaires.

Protection absolue des données

Dès la prise d’effet du RGPD, les entreprises devront garantir la protection des données sans condition.

En d’autres termes, elles doivent sécuriser leurs systèmes et processus afin d’empêcher les fuites et les attaques.

Cette approche doit être observée dès la conception des techniques dédiées.

Le niveau de confidentialité doit être élevé par défaut, et, tout au long du cycle de traitement des données, les mesures techniques et procédures doivent être conformes au règlement.

Enfin, des mécanismes doivent être instaurés pour s’assurer que les informations sont exploitées seulement en cas de nécessité et pour une raison précise.

Les éléments ci-dessous doivent aussi être gardés à l’esprit:

  • Un périphérique de stockage avec redondance RAID, et destiné à se prémunir des pannes de disques durs, doit être acquis afin d’éviter les interruptions ou les pertes de données.
  • Un stockage centralisé, plutôt qu’un stockage local sur ordinateurs ou disques durs externes ou portables, doit être favorisé. Ceux-ci sont plus susceptibles d’être détournés par une personne non autorisée car il est plus difficile, voire impossible, d’en contrôler les accès.

Système fermé

Configuration sécurisée

Chiffrement des données

Mots de passe

Antivirus
(TS3000/3010 & TS5000/5010, vendu séparément)

Sauvegarde, réplication, reprise et chiffrement

Protection contre le vol

  • Protection logicielle : authentification au démarrage
  • Protection physique

Mise en pratique

La protection des données peut avoir une incidence sur vos dispositifs de stockage.

Vous devez opter pour des solutions simples d’accès, dont la gestion est facilitée et qui garantissent sécurité et confidentialité.

  • Si vous stockez des données en interne, votre entreprise fera à la fois office de contrôleur et de gestionnaire des données. Vous serez ainsi tenu pour responsable de tout détournement non autorisé de celles-ci, ou de la non-obéissance au RGPD.
  • Si les données se trouvent dans un cloud public ou hybride, vous devez vous assurer que les opérations du fournisseur associé sont conformes au RGPD.

Si les données à caractère personnel se trouvent sur un serveur standard, un serveur NAS ou d’autres appareils, les points suivants doivent être respectés :

  • La protection par mot de passe : les appareils et fichiers/dossiers contenant des données à caractère personnel doivent être protégés par un mot de passe, et uniquement accessibles aux utilisateurs autorisés.
  • Le chiffrement : les données doivent toujours être chiffrées avant leur stockage ou leur transfert.
  • La protection physique contre le vol et la perte : les appareils contenant des données à caractère personnel doivent être protégés physiquement (par exemple, via une encoche de sécurité Kensington ou des clés si vous utilisez un serveur NAS ou des disques durs, etc.).
  • La protection par antivirus
  • La protection à l’aide d’un pare-feu
  • La sauvegarde des données pour permettre leur récupération : des sauvegardes doivent être effectuées automatiquement et quotidiennement, afin que les données puissent être récupérées en cas de perte.

Principes de base du RGPD à destination des PME

Les PME doivent honorer un certain nombre de principes de base afin de pouvoir répondre aux exigences du RGPD.

La protection du répertoire racine
Si un attaquant accède au répertoire racine, il peut y dissimuler un virus ou un malware en faisant passer un code malveillant pour un fichier important que les logiciels antivirus ne prendront pas en compte. De ce fait, les systèmes fonctionnant sur serveur NAS doivent être fermés afin que même l’administrateur ne puisse y accéder. Cela limite grandement le nombre de failles, investies par les hackers qui utilisent habituellement des rootkits (outils de dissimulation d’activité) complexes pour accéder à ce même type de répertoire.
Une installation sécurisée
Lorsqu’une entreprise configure un serveur NAS, une connexion Internet est souvent requise pour paramétrer le compte applicable et activer l’accès à distance. Cependant, ceci est également le moyen, pour les personnes mal intentionnées, de subtiliser les noms d’utilisateur et les mots de passe lors de la circulation des données hors de l’entreprise et sur la toile.
Un chiffrement renforcé
Les données stockées sur disque dur sont vulnérables. Protéger ce dernier à l’aide du chiffrement AES 256 bits, théoriquement inviolable, les rend illisibles.

Le TeraStation™ de Buffalo : le serveur NAS le plus sûr qui soit, et conforme aux exigences du RGPD

Grâce au serveur NAS TeraStation™ de Buffalo, conçu spécialement pour les PME :

  • Les pirates ne peuvent pas accéder aux données stockées en tirant parti des protocoles SSH ou des serveurs Telnet, par exemple.
  • Aucune option du système d’exploitation du micrologiciel TeraStation™ ne peut être employée pour modifier ou ajouter des fonctionnalités. Le développement de failles de sécurité, susceptibles d’être exploitées par des cybercriminels, est ainsi empêché.
  • L’utilisateur peut désactiver les réinitialisations et récupérations externes.
  • Les TeraStation™ sont protégés physiquement par des câbles de sécurité et des disques durs verrouillables. Le vol du matériel est donc impossible, et l’authentification au démarrage permet de contrecarrer l’accès aux données en toute circonstance.
  • Les disques durs sont intégralement protégés par le chiffrement AES, ce qui se révèle particulièrement utile en cas de retrait par un tiers. Cette fonctionnalité n’est pas activée par défaut, mais peut l’être facilement.
  • Des protocoles de partage sécurisés (HTTPS, SFTP) assurent une protection lors des accès locaux ou à distance. En outre, les données ne sont jamais transférées en clair sur Internet.
  • Des modes RAID sont préconfigurés en usine.
  • Le remplacement à chaud du disque dur est possible avec chaque TeraStation™.
  • Le micrologiciel du TeraStation™ ne peut pas être infecté car il s’agit d’un système fermé. Cela étant, une atteinte des fichiers, qu’ils soient partagés entre des ordinateurs, des tablettes et des smartphones, par des ransomwares, des logiciels espions ou des chevaux de Troie, est toujours possible lorsque ces appareils sont connectés au dispositif de stockage. À ceci s’ajoute un antivirus, doté des dernières signatures et détectant les menaces en continu.
  • Diverses options de sauvegarde sont envisageables pour stocker les fichiers en toute sécurité sur et hors du serveur NAS (sauvegardes régulières, dans le cloud, sur périphérique USB, serveur ou PC, ou encore réplication ou basculement).

Plusieurs modèles de TeraStation™ sont disponibles, chacun étant conçu pour répondre aux besoins précis des organisations de toutes tailles.

Désignation d’un responsable dédié

Il est essentiel, pour qu’une PME soit en conformité avec le RGPD, qu’une personne soit désignée afin d’assurer la gestion et la protection des données des clients.

Ainsi, une attention est portée à ces points à tous les instants.

Ce même individu peut identifier les éventuelles anomalies et déterminer les besoins, puis établir et contrôler les processus requis.

Termes spécifiques employés dans le RGPD

Les termes suivants apparaissent dans le RGPD :

  • Contrôleurs de données : il s’agit des organisations qui recueillent les données à caractère personnel des citoyens ou résidents européens et les conservent. Celles-ci peuvent notamment inclure les entreprises proposant des services sur et hors ligne dans l’Union européenne.
  • Gestionnaires de données : il s’agit des organisations qui traitent les données au nom du contrôleur (par exemple, un fournisseur de services de stockage dans le cloud).
  • Personnes concernées : il s’agit des citoyens ou résidents européens dont les informations sont conservées par un contrôleur ou traitées par un gestionnaire.

Il est probable que nombre de PME jouent à la fois le rôle de contrôleur et de gestionnaire.

Définition des données à caractère personnel selon le RGPD

Les données à caractère personnel constituent toutes les informations relatives à un citoyen ou résident européen qui peuvent être utilisées pour l’identifier directement ou indirectement.

Elles comprennent, entre autres, le nom, les photos, l’adresse e-mail, les coordonnées bancaires, les publications sur les réseaux sociaux, les informations à caractère médical et l’adresse IP.