RGPD, la solution pour responsabiliser tous les acteurs de l’IoT ?

Le par  |  22 commentaire(s)
RGPD

Le Règlement Général pour la Protection des Données (RGPD ou GDPR en anglais) entrera en vigueur le 25 mai prochain dans tous les pays de l’Union européenne. Comment celui-ci va obliger tous les acteurs de l’IoT à prendre leurs responsabilités dans la chaîne de traitement de l’information ?

Tribune rédigée par Julien Muller, CTO de Matooma

Les entreprises concernées par le RGPD voient leurs responsabilités renforcées, avec l’introduction de trois principes clés :

  • Le « privacy by design » désigne l’intégration des principes de protection des données privées des clients et employés dès la conception d’un service ou d’un produit.
  • Le « security by default » renvoie aux garanties sur le niveau de sécurité offert par les systèmes d’information mis en œuvre.
  • Enfin, « l’accountability », probablement le changement le plus marquant, débouche sur une logique de responsabilisation de tous les acteurs de la chaîne dans la protection des données. Ce dernier principe vient ainsi supplanter les processus déclaratifs et d’autorisation auprès de la CNIL.


Outre ces trois principes fondateurs, le RGPD s’illustre aussi par la lourdeur des sanctions prévues par le législateur : les amendes en cas de non-conformité peuvent atteindre 4 % du montant total du chiffre d’affaires d’une entreprise !

RGPD

Cependant, ces nouvelles exigences apparaissent davantage comme la continuité de pratiques déjà en place. Le secteur des télécoms par exemple a toujours été très suivi par la CNIL. De plus, certains acteurs avaient déjà impliqué contractuellement leurs fournisseurs et sous-traitants dans la protection des données, en les responsabilisant sur la sécurité et l’encadrement de la finalité des traitements.

Techniquement, les mesures prévues par le règlement sont déjà en place, y compris sur des processus sur lesquels peinent encore de nombreuses sociétés, comme l’effacement total des données personnelles d’un utilisateur sur simple demande ou la notification d’éventuels incidents de sécurité. 

Pour y faire face, les entreprises peuvent :

  • Faire auditer leurs process avec des partenaires tiers spécialisés dans la sécurité des systèmes d’information ou dans les infrastructures type datacenters  pour vérifier qu’ils respectent bien les préconisations du règlement,
  • nommer, en plus d’un RSSI qui se focalise sur la sécurité des accès,  un responsable des bases et traitements de données, qui hérite du dossier RGPD.


Malgré l’entrée en vigueur du texte, il ne faut pas s’attendre à voir la sécurité des objets connectés s’améliorer brutalement. Seule une normalisation permettrait de changer réellement les choses. Par exemple, avant d’être commercialisés en Europe, les smartphones doivent recevoir une certification. Or, rien de tel n’existe pour l’instant avec les objets connectés. 

IoT

Néanmoins, la sécurisation des couches de transport et la protection des emplacements de stockage de données permettent déjà d’écarter la plupart des risques, hormis le blocage du service à proprement parler. Dans le cas d’un bracelet de géorepérage, qui signale l’entrée ou la sortie d’une zone géographique donnée, tout le volet interprétation des données s’effectue sur le serveur, relié à l’objet par un protocole de transport hautement sécurisé. Les actions qui découlent de ces analyses sont effectuées à partir de systèmes tiers. L’objet connecté n’est, en réalité, qu’un simple élément passif dans cette chaîne.

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2008710

Le Règlement Général pour la Protection des Données



Ou autrement dis, le sauveur des paranos ...

Ah ben nan, je suis con, un parano, quelque soit le truc, il pense toujours qu'on lui veut du mal ...
Le #2008711
FRANCKYIV a écrit :


Le Règlement Général pour la Protection des Données



Ou autrement dis, le saveur des paranos ...

Ah ben nan, je suis con, un parano, quelque soit le truc, il pense toujours qu'on lui veut du mal ...


+1 Et ici le parano pouce comme un champignon
Le #2008712
Bien que j'ai mis précisément ce que je cite, User surtout n'hésite pas à me dire de quoi on est obligé de parler sur cette actu ...
Le #2008713
Pourquoi restreindre le RGPD à l'IOT dans l'article ?

Il me semblait que ça concernait TOUS les systèmes informatiques...
Le #2008718
FRANCKYIV a écrit :


Le Règlement Général pour la Protection des Données



Ou autrement dis, le sauveur des paranos ...

Ah ben nan, je suis con, un parano, quelque soit le truc, il pense toujours qu'on lui veut du mal ...


Seuls les paranos survivent!
Le #2008720
sebou a écrit :

FRANCKYIV a écrit :


Le Règlement Général pour la Protection des Données



Ou autrement dis, le saveur des paranos ...

Ah ben nan, je suis con, un parano, quelque soit le truc, il pense toujours qu'on lui veut du mal ...


+1 Et ici le parano pouce comme un champignon


Facebook était si cool et gentil..... ah ben non en fait !
Le #2008721
FRANCKYIV a écrit :

Bien que j'ai mis précisément ce que je cite, User surtout n'hésite pas à me dire de quoi on est obligé de parler sur cette actu ...


Lol tes trop bête rien a faire
Le #2008726
LinuxUser a écrit :

FRANCKYIV a écrit :

Bien que j'ai mis précisément ce que je cite, User surtout n'hésite pas à me dire de quoi on est obligé de parler sur cette actu ...


Lol tes trop bête rien a faire



Le #2008727
Magic2016 a écrit :

sebou a écrit :

FRANCKYIV a écrit :


Le Règlement Général pour la Protection des Données



Ou autrement dis, le saveur des paranos ...

Ah ben nan, je suis con, un parano, quelque soit le truc, il pense toujours qu'on lui veut du mal ...


+1 Et ici le parano pouce comme un champignon


Facebook était si cool et gentil..... ah ben non en fait !


Pourquoi te sentir viser, je n'ai pas cité ton Pseudo
Le #2008728
Trèves de plaisanteries, je me demande si du coup les CB "sans contact" sont RGPD compliant, perso je ne crois pas...
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme