LA LOI EUROPÉENNE RGPD

La loi européenne RGPD

Mais qu’est-ce que la RGPD ?

C’est une loi qui protège les citoyens européens de l’utilisation et la récolte de leurs données personnelles. A l’origine, c’est un garde-fou contre les GAFA (Google Apple Facebook Amazon et les autres) mais elle s’applique à toute entreprise de la planète qui stocke des informations personnelles de citoyens européens. Cette loi concerne bien sur les données informatiques, mais également les données sur papier !

A quoi suis-je tenu ?

Les données personnelles des INDIVIDUS doivent faire l’objet d’un traitement séparé ; Pour une entreprise B2B cela se limite souvent aux données de paie et de contrat des salariés et aux coordonnées des contacts professionnels de l’entreprise :

  • Obligation d’informer les personnes que vous stockez leurs données et obtenir leur consentement
  • Obligation de définir la raison pour laquelle vous stockez ces données
  • Obligation de lister les données et à quel endroit elles sont stockées et qui peut y avoir accès
  • Obligation de protéger au mieux ces données contre des attaques extérieures (Virus,hacking,attentat..) et contre des accidents (Incendie, erreur humaine)
  • Garantie qu’en cas de données compromises il est possible de les restaurer de manière fiable
  • Obligation d’informer les autorités sous 72H en cas de compromission et de pouvoir déterminer la source/cause du problème 

Que dois-je faire pour me mettre en conformité ?

Pour beaucoup de PME qui ne travaillent pas avec les particuliers, c’est en fait assez simple :

  • Obligation d’informer les personnes que vous stockez leurs données et obtenir leur consentement
  • Obligation de définir la raison pour laquelle vous stockez ces données
  • Obligation de lister les données et à quel endroit elles sont stockées et qui peut y avoir accès
  • Obligation de protéger au mieux ces données contre des attaques extérieures (Virus,hacking,attentat..) et contre des accidents (Incendie, erreur humaine)
  • Garantie qu’en cas de données compromises il est possible de les restaurer de manière fiable
  • Obligation d’informer les autorités sous 72H en cas de compromission et de pouvoir déterminer la source/cause du problème 

Et d’un point de vue informatique ?

Cela se révèle être en fait beaucoup de bon sens :

  • Obligation d’informer les personnes que vous stockez leurs données et obtenir leur consentement
  • Obligation de définir la raison pour laquelle vous stockez ces données
  • Obligation de lister les données et à quel endroit elles sont stockées et qui peut y avoir accès
  • Obligation de protéger au mieux ces données contre des attaques extérieures (Virus,hacking,attentat..) et contre des accidents (Incendie, erreur humaine)
  • Garantie qu’en cas de données compromises il est possible de les restaurer de manière fiable
  • Obligation d’informer les autorités sous 72H en cas de compromission et de pouvoir déterminer la source/cause du problème 

La plupart des entreprises ont ces éléments déjà en place, mais peut être de manière incomplète ou simplement non maitrisée aujourd’hui.

Et quels bénéfices pour ma PME ?

C’est l’occasion de faire une action importante et pas urgente, c’est-à-dire le type d’actions le plus stratégique pour l’entreprise ;
Faire un point de la situation actuelle, définir ses objectifs de sécurité, corriger les points nécessaires, et documenter l’ensemble.

RGPD - Suivi des modifications des fichiers

Depuis toujours nous faisons sans la fonctionnalité, logique mais inexistante, de pouvoir dire qui a modifié un fichier sur le serveur, ou qui a supprimé un répertoire. Windows Server ne propose tout simplement pas cette option et il est fréquent que l’on veuille savoir quand, qui et donc surtout comment un répertoire ou un fichier a disparu. Avec la RGPD, cette fonction devient presque indispensable ; On doit en effet en cas de compromission d’une donnée personnelle (suppression, vol, modification nuisible) pouvoir  définir la source exacte du problème. Et sans outil qui trace les modifications sur le serveur de fichiers…

NirWana propose un logiciel qui s’installe sur le serveur et audite toutes les modifications, créations ou suppressions de fichiers. Non seulement cela permet d’identifier à posteriori la source de l’erreur, mais le logiciel permet également une gestion proactive par un reporting simple, clair et complètement paramétrable pour signaler des comportements anormaux. Sans être expert en informatique, il est clair qu’une machine est très suspecte si elle tente d’accéder à tous les partages à laquelle elle n’a pas le droit, la nuit, avec plusieurs essais de mot de passe.

Dans un autre registre, un stagiaire qui recopie l’intégralité des données du serveur sur son PC n’a pas un comportement compatible avec la chartre informatique, voir n’a pas notion que le vol de données est un délit. NirWana mets en place les rapports classiques de surveillance, mais la direction peut simplement ajouter des rapports supplémentaires ciblés sur ce qui les intéresse.

Une dernière utilité est de surveiller plus spécifiquement certains fichiers. Par exemple, la liste de prix de l’entreprise, accessible à tous, n’est pas censée être modifiée à la hussarde, mais uniquement apres la réunion marketing trimestrielle. Autant monitorer ce fichier et associer des alertes.

L’outil assure un triple rôle :

  • Obligation d’informer les personnes que vous stockez leurs données et obtenir leur consentement
  • Obligation de définir la raison pour laquelle vous stockez ces données
  • Obligation de lister les données et à quel endroit elles sont stockées et qui peut y avoir accès
  • Obligation de protéger au mieux ces données contre des attaques extérieures (Virus,hacking,attentat..) et contre des accidents (Incendie, erreur humaine)
  • Garantie qu’en cas de données compromises il est possible de les restaurer de manière fiable
  • Obligation d’informer les autorités sous 72H en cas de compromission et de pouvoir déterminer la source/cause du problème

RGPD - Gestion multi-Site

Les entreprises multi-sites connaissent toutes la difficulté de gérer les données et leur accès rapide pour tous les salariés. La logique de contrôle, de sécurité et de sauvegarde voudrait que tout soit centralisé sur le site principal et que les autres sites y accèdent à distance.

Se pose alors le cout récurrent des liens informatiques VPN entre les sites (Fibre, SDSL) face à la productivité des salariés. L’autre option est de disposer de serveurs sur chaque site, avec les données propres à chaque site. Les utilisateurs ont alors un accès rapide permanent aux données, pour un productivité maximale. Mais se pose la question de la consolidation des données, de la sauvegarde, et plus incidieux du risque de multiple versions pour le même document.

NirWana propose un système hybride, les données étant centralisées sur le site principal, avec une recopie sur des serveurs locaux de chaque site, afin de bénéficier du meilleur des deux mondes. La solution semble logique et facile, mais la mise en place est complexe, surtout si l’on veut une arborescence unique pour l’ensemble de l’entreprise tout en supprimant les risques d’écrasement involontaires de fichiers. La solution proposée utilise des fonctionnalités Microsoft couplé à un logiciel tiers pour que l’utilisation soit simple et évidente, sans pour autant perdre en sécurité et intégrité des données.