Évaluer les risques associés à la protection des données lors de la migration vers le Cloud est un défi complexe. Dans une publication précédente, nous avons expliqué l’impact de la migration vers le nuage dans une perspective de cybersécurité. Cet article explore l’accélération de l’utilisation de l’informatique en nuage pour gérer l’augmentation des exigences dues au télétravail causé par la pandémie de COVID-19. Cependant, la sécurité n’est pas le seul enjeu en lien avec l’infonuagique. En effet, la protection des données est également devenue un enjeu important du monde des affaires. Les réglementations se concentrant sur la protection des données, comme la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ), la Loi sur la protection des données personnelles des consommateurs résidant en Californie (California Consumer Protection Act) et le règlement général sur la protection des données (RGPD) ont des attentes rigoureuses concernant le traitement des données de vie privée. De plus, les consommateurs ont eux aussi des attentes élevées en ce qui concerne la façon dont leurs données doivent être manipulées.
Voici certains aspects à prendre en considération lors de l’accélération de votre adoption en matière d’infonuagique (cloud transformation) due à la pandémie de COVID-19 (et même pour le futur).
La protection de la vie privée a encore une fois fait les manchettes dans la dernière année. Les rapports et les sondages effectués confirment que la protection de la vie privée est importante pour les consommateurs. Un sondage sur l’attitude des consommateurs par rapport à la protection de la vie privée réalisé en 2019 par Cisco a permis de découvrir que 84 % des répondants se préoccupent de la protection des données et sont prêts à agir pour les protéger. La protection de la vie privée est à la fois un enjeu éthique et une demande des consommateurs. Aujourd’hui, il s’agit également d’une exigence règlementaire.
Les réglementations impliquant la protection de la vie privée sont entrées dans le monde des affaires, ont forcé une protection rigoureuse des données et ont mis en place des amendes salées pour les entreprises ne les respectant pas. Ces réglementations existent dans plusieurs pays. Certains, comme l’Europe avec le règlement général de la protection des données (RGPD), ont un impact et une portée très large.
L’infonuagique complique la protection de la vie privée, car il augmente la portée des données personnelles. En effet, les données sont des entités fluides et, lorsque des infrastructures de nuage complexes existent, il peut être difficile de les répertorier. Les données peuvent être plus difficiles à contrôler lorsque des applications en nuage, des serveurs Web et des bases de données présentes dans plusieurs juridictions sont utilisés. Cependant, peu importe l’infrastructure utilisée par l’organisation, une attention particulière doit être accordée à la protection des données.
Ci-dessous, vous trouverez trois points clés à prendre en considération afin de protéger vos données lors de l’utilisation de l’infonuagique.
La souveraineté des données est un terme utilisé pour décrire la façon dont une organisation doit se conformer aux lois sur la protection de la vie privée du pays dans lequel elle traite ses données. Une entreprise jonglant avec des données personnelles doit être conforme avec ces lois durant l’entièreté de la durée de vie de ces données, peu importe l’endroit où elles se trouvent. Lors du choix d’un fournisseur de nuage, ces exigences doivent être prises en considération. Souvent, les données sont rassemblées et stockées au même endroit, mais sont traitées ailleurs.
Assurer le contrôle des données pour toute leur durée de vie, et ce, dans plusieurs infrastructures de nuage différentes, peut être très couteux et risqué en matière de protection de la vie privée. Par exemple, le RGPD et la CCPA possèdent des réglementations juridiques géographiques pour le traitement de données personnelles. Les organisations utilisant les services d’un nuage public doivent connaître l’emplacement des données durant toutes les étapes (du stockage au partage).
En raison de l’augmentation considérable du télétravail, les entreprises utilisent de nouveaux moyens de communication. Cela inclut notamment l’utilisation de portails virtuels de réunion tels que Zoom ou Microsoft Teams. Dans une publication récente, Microsoft a déclaré que le télétravail a causé « une augmentation considérable du nombre d’usagers de Teams, avec plus de 44 millions d’utilisateurs par jour ».
La migration vers le nuage a permis aux employés travaillant à distance de s’impliquer efficacement en utilisant des portails virtuels. Par contre, il est important de veiller à ce que la même attention soit accordée à la protection des données et à la sécurité en télétravail que dans les murs des bureaux. Les discussions effectuées via des portails virtuels peuvent créer des brèches de données confidentielles qui pourraient mener à des problèmes de sécurité et de protection de la vie privée. Lorsque vous utilisez ces portails collaboratifs, assurez-vous de toujours suivre les habitudes de protection des données suivantes :
Les réglementations concernant la protection des données ont mis en place des règles rigoureuses quant à la manipulation et le traitement des données des consommateurs. Par exemple, le RGPD présente huit droits de la personne concernée auxquels les entreprises doivent se conformer, notamment l’accessibilité, la portabilité et le droit de modifier une donnée. D’autres lois sur la protection des données des consommateurs ont des exigences similaires visant le traitement des données et les droits de la personne concernée.
De plus, les consommateurs ont eux aussi des attentes quant à la protection de leurs données. Un rapport de PwC a exposé que 84 % des consommateurs ne feraient pas affaire avec une entreprise s’ils ne se sentent pas en confiance par rapport à l’utilisation de leurs données.
Pour bien exercer les droits en lien avec les données et pour veiller à ce que les données soient bien manipulées, il est essentiel de savoir quelle donnée est nécessaire pour chaque service, à quel endroit elle est stockée, comment elle sera partagée et comment la protéger. Dans l’environnement infonuagique, il s’agit d’une tâche supplémentaire servant à couvrir toutes les parties de l’infrastructure du nuage, incluant les points terminaux.
Une évaluation de l’impact de la protection des données (Privacy Impact Assessment jumelé à une cartographie des données) peut vous aider à établir l’emplacement de chaque donnée dans une infrastructure infonuagique complexe. L’Évaluation de l’Impact sur la Protection des Données se concentre sur les risques associés au traitement des données personnelles et sur la meilleure façon de les éliminer. Cela donne à l’entreprise un outil efficace pour se présenter comme leader par rapport au traitement des données personnelles dans le nuage.
L’informatique en nuage a permis aux entreprises de faire face à la tempête de la COVID-19. Il est possible d’affirmer que sans cette technologie, la pandémie actuelle aurait eu des effets encore plus dévastateurs sur le monde des affaires. En effet, nous avons besoin du nuage pour faciliter le travail d’aujourd’hui. Maintenant que les entreprises sont encore plus décentralisées en raison du télétravail, le nuage est devenu un service essentiel. Si vous décidez d’accélérer votre migration vers le nuage, la vigilance concernant la protection des données de vie privée doit rester votre priorité, même en temps de pandémie. Les nuages, qu’ils soient utilisés en télétravail ou au bureau, doivent toujours répondre aux exigences du milieu en matière de protection des données.
