Le Règlement général sur la protection des données (RGPD) célèbrera en mai prochain son quatrième anniversaire. Toutefois, cette réglementation européenne n’est pas exempte de certaines problématiques qui touche au transfert des données de manière sécurisée dans un pays en dehors de l’Union européenne. Dans ce contexte, en quoi les règles d’entreprise contraignantes sont-elles devenues incontournables ? En outre, pourquoi est-il désormais crucial pour les entreprises de chercher un partenaire de connectivité avec ce niveau de sécurité des données ?
Que sont les règles d'entreprise contraignantes ?
En vertu du RGPD, les transferts de données personnelles en dehors de l'UE (un pays tiers) sont limités et ne sont autorisés que si un niveau de protection substantiellement équivalent a été mis en place. Les règles d'entreprise contraignantes sont donc un moyen pour les responsables du traitement et les sous-traitants de se conformer aux exigences du RGPD en matière de transfert de données vers des pays tiers. Elles sont explicitement appelées au sein du réglement comme un mécanisme fournissant des garanties appropriées pour les transferts de données de pays tiers.
Ce dispositif permet ainsi aux multinationales de transférer des données personnelles à l'international au sein d'un même groupe de sociétés, les partageant avec des pays qui n'offrent pas un niveau de protection équivalent au RGPD.
Il existe deux types de règles d’entreprise contraignantes : le premier pour les responsables du traitement, adapté aux transferts de données et dont le groupe est responsable en dernier ressort ; et le second pour les sous-traitants, adapté aux transferts au sein d'un groupe où le groupe agit en tant que sous-traitant pour d'autres responsables du traitement - il s'agit généralement de clients.
Pourquoi est-ce important ?
Les violations de données, les piratages et les attaques de cybersécurité ne font que croître et ce, plus encore depuis le début de la crise sanitaire. Alors que les entreprises poursuivent leur transformation numérique, le volume de données qu'elles créent, gèrent et stockent ne cesse également de croître. Cela entraîne un besoin accru de sécurité et de gouvernance des données.
Les environnements dans lesquels nous évoluons sont également plus complexes, avec des éléments tels que le cloud, les data centres, les périphériques et la main-d'œuvre à distance, qui doivent être sécurisés. Cette extension du périmètre de sécurité signifie qu'il est plus difficile de surveiller et de prévenir les attaques.
Les utilisateurs finaux en ont également conscience et s'attendent à ce que toutes les données qu'ils partagent soient sécurisées. Le public est en ce sens de plus en plus demandeur d'initiatives et de réglementations en matière de protection des données qui, si elles ne sont pas respectées, entraînent des amendes coûteuses pour les entreprises. Cela signifie également que la chaîne d'approvisionnement de chaque entreprise doit être sécurisée, car toute personne qui interagit avec une donnée est une vulnérabilité en soi. En somme, la sécurité est une priorité pour les DSI et les gestionnaires de réseaux. Notre dépendance à l'égard de la technologie et de l’interconnectivité s'accroît et c’est la raison pour laquelle tous les composants doivent être sécurisés.
Choisir le bon partenaire
Les innovations permises par la technologie et rendues globales grâce à la mondialisation n’ont donc d’égales que les risques qu’elles induisent sur les écosystèmes informatiques. Ainsi, les entreprises européennes doivent s’entourer de partenaires spécialisés dans la connectivité, à la fois en conformité avec le RGPD et détenteurs de règles d’entreprise contraignantes, et cela revêt aujourd’hui un caractère fondamental.
La sécurité des réseaux n'est pas un projet ponctuel. Il n'y a pas de baguette magique qui puisse garantir la sécurité totale des données 24 heures sur 24. Il est ainsi crucial pour les entreprises de choisir un partenaire qui assure un tel niveau élevé de sécurité des données du réseau, et qui considère la sécurité comme un projet continu et évolutif à l'échelle de l'entreprise.