Publicité

Messagerie et serveurs de fichiers à l'heure du RGPD

  • CEO_Vision.jpg

    Avec le RGPD, les organisations vont devoir bannir l’utilisation de l’email et du serveur de fichiers pour toutes les informations personnelles. (crédit : Freepik)
  • [Tribune] Dans quelques semaines seulement le Règlement Général de Protection des Données (RGPD ou GDPR en Anglais) va entrer en vigueur. Or, les problématiques qu'il aborde ont déjà été traitées par des normes comme l’ISO 27018, sous forme de meilleures pratiques sur la protection des données personnelles.

    Le RGPD impose un cadre légal européen et est assortis de sanctions lourdes (jusqu’à 4 % du chiffre d’affaire limité à 20 Millions d’Euros). Ces contraintes s’appliquent aussi aux divers sous-traitants (par exemple l’infogérant de l’éditeur dans le cas d’une application SaaS). Ce règlement européen couvre toutes les activités impliquant le traitement des données personnelles en Europe (les sites e-commerces, les réseaux sociaux, les outils de géolocalisation et de campagnes marketing, etc.). La gestion des documents contenant des données personnelles comme les fiches de paye est elle aussi concernée, impactant les Systèmes d’Information de type GED, Serveur de fichiers, messagerie, etc.

    Rappelons d'ailleurs la définition au sens RGPD  des « données à caractère personnel » : il s'agit de toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »). Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

    Serveur de fichier et boîte mail, à l'heure du RGPD

    Dans le cas de la gestion documentaire, ces données personnelles peuvent être celles des salariés, des clients ou prospects, des fournisseurs ou partenaires. En ce sens, le RGPD stipule des objectifs à atteindre :

    • identifier les contenus personnels (ex : avec des outils spécialisés) et le personnel pouvant y avoir accès.
    • garantir un niveau de sécurité adapté au risque incluant chiffrement « au repos » ou pendant un transfert (art.32).
    • définir des personnes habilitées pouvant avoir accès aux contenus avec données personnelles (art.29).
    • définir un contrôle d’accès aux contenus avec données personnelles (art.25)​.
    • auditabilité.
    • protection contre destruction, perte, altération, diffusion ou accès non autorisé.

    Nous ne parlons pas ici de l’ensemble des règles comme l’obligation de rendre publique tout vol de données personnelles, la désignation de « DPO », le droit à l’oubli…

    On constate ainsi rapidement que des pans entiers du système d’information et des usages actuels ne sont pas "compatibles" RGPD.  Bien évidemment les progiciels type SIRH ou CRM sont directement impactés mais aussi, et nous allons nous focaliser dessus, les 2 applications les plus courantes, à savoir la messagerie et le serveur de fichiers.

    Des systèmes qui ont atteint leurs limites

    De nombreux vols de données personnelles et sensibles ont d'ailleurs concerné la messagerie (piratage HBO, Deloitte, etc. ). Le serveur de fichiers, lui, a été touché par des failles de sécurité et des ransomware (ex : Wannacry). En plus de ces faiblesses de sécurité, la saturation des messageries et des serveurs de fichiers démontre bien que ces deux systèmes ont atteint leurs limites.

    Coté messagerie, les mauvaises pratiques font que de nombreux utilisateurs y stockent des données sensibles ou personnelles (email ou pièces jointes). Pire, ces données sont transmises par email sans aucune forme de protection (cryptage S/MIME, etc.).

    Coté serveur de fichiers, les droits d’accès ne sont pas forcément bien gérés (ou maintenus), pouvant aboutir sur l’accès à des données personnelles (ex : bulletin de Salaire) par des personnes non-autorisées voire malveillantes (25% des vols de données sont perpétrés par des acteurs internes à l’organisation). De plus la piste d’audit n’est pas toujours activée, de même la gestion des versions.

    Au sens RGPD, l’organisation est responsable dans le cas où un bulletin de salaire, un contrat, un entretien d’évaluation, un bon de commande/facture client ou tout autre document avec informations personnelles tombe dans des mains malveillantes, qu’il soit stocké sur un serveur de fichier ou transmis par email. Inutile de souligner que cela va mettre sous contrainte très forte les organisations et imposer des changements dans les pratiques.

    Les organisations vont donc devoir bannir l’utilisation de l’email et du serveur de fichiers pour toutes les informations personnelles. Nous rajouterons de retenir ce concept aussi pour les contenus sensibles. Cela permet de s’appuyer sur la contrainte du RGPD pour augmenter significativement le niveau de sécurité alors que le nombre d’attaques explose, que ce soit à des fins criminelles (ransomware, etc.) ou d’espionnage (21 % du vol de données est concentré sur le secteur industriel, les activités gouvernementales, l’activité de conseil et la recherche).

    Quelles solutions pertinentes envisager ?

    Les meilleures pratiques vont désormais s'appuyer sur les plateformes de travail collaboratif et de GED. A l’heure où le Digital Workplace et la GED transversale se démocratisent, nous avons souhaité illustrer les changements à envisager avec l’exemple d’une solution « made in France » et Open Source. Dans le cas de la plateforme GoFAST, il est ainsi possible :

    • de centraliser tout le contenu dans l'entrepôt GoFAST pour limiter les risques de fuites de données sensibles en bannissant le stockage des documents dans les messageries, les supports amovibles, PC personnels, etc.
    • de gérer simplement les accès, permettant aux utilisateurs de facilement comprendre qui a accès à quels documents.
    • de séparer les droits dits « métier » de l’administration technique et éviter l’effet « Snowden » (le superadministrateur n’a pas accès par défaut au documents).
    • de suivre les créations des documents et les mises-à-jour des versions  (piste d'audit associée : qui a ajouté ou modifié le document et quand).
    • de catégoriser les documents ayant des données sensibles ou personnelles et de les rassembler dans des espaces dédiés avec uniquement des membres habilités.
    • d’envoyer un lien de téléchargement pour les contenus sensibles utilisant un canal sécurisé et auditable.
    • de publier les fiches de paie (ou tout autre contenu personnel) dans les espaces privés des collaborateurs.
    • les fichiers supprimés restent récupérables pendant une période donnée.

    Bien sûr ce type de plateforme apporte de nombreux autres avantages, dont le respecte de normes comme ISO9001, amélioration de la productivité et de la collaboration.

    Christophe Potter
    Président de CEO Vision SAS

    CPotter.jpgChristopher Potter a créé le 1er site Internet boursier en France en 1996, puis la 1ère banque privée en ligne Suisse en 1998 et a été jusqu'en 2009 responsable des plateformes Internet de bourse du Groupe Crédit Agricole. Ses 12 années passées dans le secteur bancaire et l'expérience acquise dans le domaine des systèmes informatiques lui ont permis d'identifier les faiblesses des outils utilisés dans la majorité des organisations. Le constat qu'aucun outil n'est parfait et la certitude que l'Open Source est le modèle à suivre l’ont ainsi poussé à conceptualiser une technologie collaborative et de GED innovante avec une expérience utilisateur unique. Il a alors donné naissance à la plateforme collaborative GoFAST, basée sur le meilleur de l'Open Source. Son ambition : offrir une alternative européenne sérieuse à Office365/Sharepoint et Google Docs/Drive afin d’améliorer la gestion de l'information et la collaboration au sein des organisations. GoFAST permet, en effet, d'éradiquer le chaos lié à la sur-information et à la dispersion des contenus (messagerie, serveurs de fichiers) et d’augmenter la productivité de l'organisation.

     

    À lire sur Archimag

    Commentaires (1)

    • Portrait de DanSir97

      Dans une entreprise qui utilise une messagerie comme moyen de communication, les emails des clients, prospects, collaborateurs, ancien collaborateurs, sont classés et conservés pendant des années, souvent sans limite de temps. Si une partie des éléments d'une signature, tels que nom, prénom, adresse mail professionnelle, sont considérés comme des données personnelles et que le droit à l'oubli, par exemple, s'y applique, il me semble assez complexe de nettoyer des boites de messagerie, en particulier pour les emails multi-destinataires ou il serait nécessaire de supprimer un destinataire sans supprimer l'email tout entier. Est-ce que le RGPD nous oblige à répondre à cette problématique ?

      mai 16, 2018

    Le Mag

    Tout Archimag, à partir de 9,50 €
    tous les mois.

    Le chiffre du jour

    30 000 euros, c'est l'amende infligée par la Cnil à l'OPH de Rennes Métropole

    Recevez l'essentiel de l'actu !