L’énigme de la conformité: faire face à la réglementation à l’ère Covid
Les changements dans nos pratiques de travail se sont accélérés ces derniers mois, alors que les entreprises cherchaient à accélérer les projets de transformation numérique – dont certains auraient auparavant mis des années à se concrétiser. Il a été largement rapporté que ce changement radical vers le travail à domicile a mis les équipes de gestion informatique au défi de s’adapter, car les entreprises adoptent rapidement des capacités à distance telles que le cloud computing. En termes simples, ces derniers mois, l’accent a été mis sur le bon fonctionnement des choses à mesure que les entreprises s’adaptaient au verrouillage.
Rob Elliss est vice-président des ventes, EMEA – Identité numérique et sécurité chez Thales.
Alors que nous nous tournons vers 2021 et que ce mode de vie de travail à distance devient permanent, de nombreuses organisations, telles que les entreprises traditionnellement «physiques» qui ont peut-être précipité des projets de transformation numérique, devront faire correspondre ces capacités de travail à distance avec les nouvelles pratiques et normes de cybersécurité.
Le risque de sécurité a augmenté pour de nombreuses entreprises, car elles ont commencé à installer leurs employés en dehors du bureau, beaucoup autorisant l’utilisation d’appareils personnels pour le travail. En effet, les organisations ont été obligées de permettre aux employés d’accéder aux données en dehors du réseau central, ce qui élargit efficacement la surface d’attaque des pirates. Cela arrive à un moment où les entreprises n’ont jamais été aussi surveillées pour protéger les données des clients. Des réglementations comme le RGPD ont redonné aux clients des droits étendus sur les données que les entreprises peuvent détenir et ont mis la responsabilité de les protéger fermement à la porte de l’entreprise.
En fin de compte, cela signifie qu’à un moment où de nombreuses entreprises tentent simplement de survivre, elles ne peuvent pas se permettre d’oublier leurs responsabilités en matière de conformité réglementaire et de sécurité. Une violation de données pourrait avoir des effets très divers, non seulement sur la perte de données potentiellement vitales, mais aussi sur des pertes de revenus dues à des atteintes à la réputation et à des amendes. Dans ce paysage en constante évolution, quels sont les développements clés dans le monde de la conformité qui devraient façonner la manière dont les entreprises collectent, stockent et partagent les données personnelles à l’horizon 2021?
Suivre la conformité
La plus grande nouvelle du point de vue de la conformité est survenue il y a cinq mois. Un arrêt de la Cour européenne de justice (CJUE) sur l’affaire dite «Schrems II» en juillet a jugé que le bouclier de protection des données n’était pas conforme au droit à la vie privée de ses citoyens. Cela a créé de graves problèmes pour les entreprises qui transfèrent des données de l’UE vers les États-Unis, ne protégeant en fait plus contre la responsabilité concernant ces transferts de données.
L’incertitude était encore un problème jusqu’à récemment, lorsque le comité européen de la protection (EDPR) a finalement adopté des recommandations sur les mesures complémentaires à la suite de l’arrêt. Il a souligné la nécessité d’une diligence raisonnable lors du transfert de données à caractère personnel au-delà de la compétence de l’Espace économique européen (EEE). Les entreprises mondiales opérant au-delà des frontières de ces États doivent désormais réfléchir sérieusement à la manière dont elles peuvent prouver leur conformité à des ensembles de réglementations en évolution, y compris le RGPD. Par exemple, les entreprises dont le siège est aux États-Unis doivent s’adapter à la décision de la CJUE de révoquer le transfert de données personnelles – un changement majeur compte tenu de plus de la moitié des données européennes (et environ la moitié des données américaines) dans le monde.
La question du Brexit rend ce sujet encore plus compliqué. La période de transition du Brexit ayant pris fin le 31 décembre 2020, le Royaume-Uni ne fait plus partie de l’UE et de l’EEE. Cela signifie qu’il n’y a pas de libre circulation des données de l’UE vers le Royaume-Uni. Cependant, l’accord de commerce et de coopération (TCA) a suspendu cette position pendant quatre à six mois, permettant ce flux de données pendant que la Commission européenne procède à son évaluation de l’adéquation du Royaume-Uni. Bien qu’il reste à voir en quoi consiste cette évaluation, les entreprises britanniques ne doivent pas supposer qu’une telle évaluation sera accordée et disposer de mesures supplémentaires afin de poursuivre le transfert de données de l’EEE vers le Royaume-Uni.
En fin de compte, cela signifie que toute entreprise britannique détenant des données de citoyens de l’UE doit veiller à ce qu’elles soient protégées et stockées correctement selon les normes de l’UE pour se conformer. Pour ce faire, les RSSI doivent d’abord prioriser l’investissement dans le chiffrement afin de protéger les données au repos et en transit. De plus, le contrôle des données doit résider dans l’EEE lui-même, comme le dicte l’UE.
- Conseils essentiels pour choisir un hébergement WordPress
- La surveillance de la glycémie de l’Apple Watch 7 est suggérée par Apple lui-même
- Dell vient de corriger une faille de sécurité du pilote datant de 2009
- Améliorer la beauté de vos photos : Conseils pratiques
- Les AirPods Max d’Apple obtiennent une première réduction de prix dans une offre rare d’Amazon
Le chiffrement au cœur de la conformité
Les organisations les plus performantes pendant la pandémie ont été celles qui sont restées agiles, prêtes à s’adapter à des demandes en constante évolution. Il est clair que le seul moyen d’atteindre une telle capacité d’adaptation est la planification des activités à long terme – et la même logique s’applique au domaine de la conformité. Les défis posés par le travail à domicile étant rendus encore plus complexes par les changements politiques et réglementaires en cours, les organisations doivent s’assurer qu’elles sont aussi flexibles et transparentes que possible, tout en s’assurant que les mesures de sécurité sont compréhensibles, accessibles et faciles à utiliser pour tous les employés.
En particulier, les entreprises doivent être prêtes à prendre des mesures pour crypter les données au repos, en particulier les informations personnelles identifiables des clients, qui peuvent être ciblées par des pirates. En collaboration avec un partenaire de sécurité, chaque fois que cela est nécessaire, une solution doit être employée qui permet de chiffrer rapidement les données, tout en garantissant que les données personnelles sont collectées et stockées de manière transparente et évolutive. Essentiellement, il est essentiel que tout système intégré ne perturbe pas l’expérience des employés ou des clients.
De plus, il est essentiel que les données soient également protégées en transit, en cryptant les données sensibles avant de les transférer et en utilisant des connexions cryptées, telles que HTTPS. En fait, il est désormais obligatoire au sein de l’UE que les entreprises prennent ces mesures, car il incombe à l’entreprise transférant les données hors de l’EEE de s’assurer qu’elles sont conformes aux données privées et aux réglementations en matière de sécurité. En raison d’une main-d’œuvre largement répartie, du fait des verrouillages et de la distanciation sociale, il devient de plus en plus nécessaire de s’auto-auditer et de s’assurer que vous êtes en conformité avec les dernières réglementations. Les entreprises transférant des données à un rythme exponentiel, souvent à travers les frontières de l’EEE et hors EEE, elles doivent vérifier et revérifier que ces données sont protégées.
Il s’agit d’atteindre un niveau de flexibilité, déployé dans des environnements de données physiques, virtuels et cloud, tout en intégrant les protections de sécurité nécessaires pour rester conforme à l’évolution des réglementations européennes. Dans cet esprit, des mesures doivent être prises, tout d’abord, pour intégrer ces processus familiers, unifier toutes vos exigences en matière de sécurité des données et maintenir le contrôle de vos clés de chiffrement.
Malheureusement, il est inévitable que certaines entreprises soient confrontées à des violations de données et des fuites, même si nous pouvons mettre en place des mesures pour les atténuer. Alors que les régulateurs continuent de définir l’ordre du jour autour de la confidentialité des données et que les entreprises continuent de s’adapter à une nouvelle façon de travailler qui comporte intrinsèquement plus de risques, il est vital de garantir la protection des clients avec le plus haut niveau de droits à la confidentialité. En conséquence, il est de plus en plus essentiel que les entreprises puissent prouver qu’elles ont pris toutes les bonnes précautions. Sinon, tout le travail acharné et l’investissement dans la lutte pour se remettre de Covid-19 pourraient voir les entreprises se voir infliger des amendes importantes et des dommages à la réputation à long terme dont elles ne pourraient jamais rebondir.
Sources :
- Réaliser une vidéo avec votre téléphone portable : les astuces à connaître
- Le niveau Apple Music Hi-Fi devrait apparaître dans les semaines à venir, lancement avec Airpods 3
- Le guide complet pour télécharger de la musique gratuitement et légalement sur YouTube
- Guide pratique : activer la localisation sur iPhone
- Réussir une présentation vidéo originale : nos conseils
- Exclusif : Seagate « explore » une nouvelle gamme possible de disques durs spécifiques à la cryptographie
- Modifier vos images avec Paint 3D : Guide pratique
- Conseils pour des vidéos de qualité sur YouTube
- La version complète de Rocket League arriverait sur mobile, selon des documents judiciaires d’Epic
- Resident Evil Village se terminant expliqué: un regard rempli de spoilers sur ce que tout cela signifie
- 6 astuces essentielles pour référencer un dictionnaire
- Les Prévisions de TETHER (USDT) pour 2021-2025
- Le nouvel iPad Pro 12,9 pouces : pourquoi il nécessite un nouveau clavier
- Le code Nasdaq a pris feu après que Berkshire Hathaway a atteint un nouveau cours de bourse
- Conseils pour une présentation efficace : Comment faire un diaporama réussi à l'oral ?
- Industrie mobile en direct: mai 2021
- Comment choisir entre un lecteur MP3 et MP4 ?
- Perturbation innovante; Ride1UP perturbe le statu quo
- Offres époustouflantes d'Apple: AirPods, iPad, Apple Watch et MacBook Pro en promotion
- MP3 vs MP4 : Comprendre les différences
- La découverte du HDR: Le nouvel enthousiasme de la qualité d'image.
- Les meilleurs vrais écouteurs sans fil: ce sont les meilleures alternatives aux AirPods aujourd’hui
- Hellblade 2: tout ce que nous savons sur le jeu Xbox Series X
- La méthode simple pour partager une vidéo sur les réseaux sociaux
- 5 astuces efficaces pour désinstaller WordPress