RGPD : la Gouvernance des Identités et des Accès au service de votre conformité

Vous avez certainement déjà entendu parler du RGPD (Règlement Général sur la Protection des Données), ou GDPR en anglais (General Data protection Regulation). Il s’agit du nouveau règlement européen sur la protection des données personnelles, qui entre en application le 25 mai 2018.

Le RGPD est souvent vu comme une nouvelle contrainte qui va peser sur les entreprises. Néanmoins, en prenant du recul, on voit bien qu’aujourd’hui, les données sont un actif stratégique majeur. On parle aussi du nouvel or noir de l’économie numérique. L’individu est particulièrement consommateur de données. Mais dans le même temps, il est particulièrement vigilant sur le respect de sa vie privée. A ce titre, il faut voir le RGPD comme le vecteur de confiance qui accompagnera le potentiel de croissance lié à l’utilisation des données.

Nous ne reviendrons pas sur l’ensemble des dispositions réglementaires, et les différentes sanctions financières qui y sont liées (NDLR : jusqu’à 4% du Chiffre d’Affaire mondial de l’entreprise). Il existe de nombreux articles qui décrivent la mise en place du registre des traitements, l’organisation des processus internes, … sur le respect des données personnelles, la CNIL propose une démarche sur laquelle vous pouvez vous référer : https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes.

Nous faisons ici un focus particulier sur l’aspect sécurité et confidentialité des données. Un des axes proposés par la CNIL sur le sujet est la bonne gestion des habilitations (https://www.cnil.fr/fr/securite-gerer-les-habilitations). Cette bonne gestion des identités et des accès est également une recommandation proposée par l’ANSSI dans son « guide d’hygiène informatique »( https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf ), guide dans lequel le système d’information doit être vu comme le « berceau des données de votre entité ».

Des recommandations sur les revues de droits régulières sont également formulées dans l’initiative DPSI (Données Personnelles et Système d’Information) proposée avec le concours de France (http://www.cigref.fr/wp/wp-content/uploads/2017/11/CIGREF-GT-AFAI-CIGREF-TIF-Donnees-Personnelles-et-Systemes-d-Informations-GDPR-2017.pdf)

Toutes les analyses convergent vers le même constat : il est indispensable de limiter les accès aux seules données dont un utilisateur a besoin. Cela passe par :

• Une bonne définition des profils d’habilitations des utilisateurs ;
• La suppression des permissions des utilisateurs dès qu’ils ne sont plus légitimement habilités à accéder à une ressource informatique (après une mobilité interne par exemple), ou à la fin de leur contrat de travail ;
• La réalisation de revues périodiques des habilitations afin d’identifier et de supprimer les comptes non utilisés et de réaligner les droits accordés sur les fonctions de chaque utilisateur.

Ces dispositions qui viennent en tant que bonnes pratiques pour la conformité au RGPD sont parfaitement industrialisables avec une solution logicielle spécialisée sur ce sujet depuis plus de 10 ans.

Prendre les bonnes dispositions en matière de protection des données personnelles, c’est aussi opter pour les outils qui vous feront gagner du temps sur l’audit et les contrôles des habilitations.

La revue de droits s’avère essentielle et doit être portée par les métiers. Saisissez l’opportunité de cette mise en place pour couvrir un périmètre de revue des accès qui ira au-delà des accès aux données personnelles. En maîtrisant les habilitations sur votre système d’information, c’est votre surface d’exposition au risque que vous réduisez.

 Voici l’interview de Kleverware pour BFM Business