Nous poursuivons notre série sur la cybersécurité avec un article sur la confidentialité des données. Partout dans le monde, les gouvernements mettent en place de nouvelles réglementations pour assurer le traitement sécurisé des informations personnelles de leurs citoyens. Notre responsable de la cybersécurité, Opeyemi Ore, et notre directeur de l’information, Alex Zverintsev, expliquent la manière dont nous adaptons nos systèmes d’information pour assurer le traitement des données personnelles des demandeurs de visas pour le compte de nos clients gouvernementaux, tout en respectant ces nouvelles normes en matière de confidentialité.
Les gouvernements du monde entier prennent conscience de la manière dont les entreprises utilisent les données et les systèmes d’information pour atteindre leurs objectifs commerciaux et pour créer de nouvelles sources de revenus. Dans ce contexte, ils s’inquiètent de plus en plus des éventuels risques d’abus de ces informations.
Cette crainte est tout à fait justifiée. Ces dernières années, nous avons vu des exemples flagrants de violations de la vie privée des utilisateurs par de grandes organisations internationales. Celles-ci ont utilisé les informations personnelles qui leur ont été confiées par leurs clients à des fins autres que celles officiellement prévues. Dans certains cas, ces violations de la vie privée ont pu entraîner l’abus des informations personnelles des personnes concernées, dans le but de commettre de multiples escroqueries ou de voler leur identité.
Résidence des données, souveraineté des données et localisation des données
Ces abus ont encouragé de nombreux gouvernements à mieux analyser la manière dont les entreprises utilisent les données personnelles de leurs citoyens et mené au développement de trois nouveaux concepts très importants :
- La résidence des données : l’obligation de stocker les données personnelles dans un lieu géographique spécifique ;
- La souveraineté des données : l’obligation de stocker les données dans un lieu géographique spécifique, et que ces données soient soumises aux réglementations locales ; et
- La localisation des données : l’obligation de conserver l’original des données dans un lieu géographique spécifique avant que ces données ne soient transmises ailleurs pour être traitées.
Les entreprises qui ne respectent pas les nouvelles règles pour le traitement des données personnelles courent des risques importants : des amendes significatives, une réputation entachée et, dans le pire des cas, l’arrêt complet de leur activité.
Les complexités liées aux transferts internationaux de données
Chez TLScontact, nos systèmes d’information sont répartis entre différents lieux, pour traiter les données personnelles de demandeurs de visas dans plus de 90 pays. Dans ce contexte réglementaire en constante évolution, assurer le traitement des informations personnelles dans le respect des obligations réglementaires et législatives peut poser un défi important. Tout traitement ou transfert international de données doit non seulement être effectué en toute sécurité. Il doit aussi être conforme à toutes les réglementations locales en matière de confidentialité.
Comme on le dit, « le diable est dans les détails ». Lorsque de nouvelles lois et réglementations en matière de protection de la vie privée sont introduites aux niveaux national et international, nous devons tout d’abord comprendre les exigences spécifiques, puis apporter les ajustements nécessaires à nos activités de traitement des données. Le premier grand changement dans ce domaine a été l’introduction du Règlement général sur la protection des données (RGPD) de l’Union européenne. Plus récemment, nous avons vu l’introduction d’autres lois nationales, comme la loi sur les données personnelles en Russie, la loi sur la sécurité informatique 2.0 (BSIG) en Allemagne et la loi sur la protection des données au Maroc, entre autres.
En collaboration avec nos équipes juridiques et de protection de la vie privée, nous avons analysé les exigences spécifiques de chaque nouvelle réglementation et établi certains points communs entre elles. Cela a permis à nos informaticiens de développer une architecture réseau reproductible et des solutions modulaires réutilisables. Celles-ci sont désormais intégrées dans nos principales applications pour le traitement des données, conformément aux réglementations locales. En particulier, cela nous a permis de :
- Créer des environnements isolés pour assurer la segmentation des données personnelles des citoyens, dans le respect des réglementations locales ;
- Mettre en place des contrôles de sécurité robustes pour protéger l’accès à ces données ;
- Crypter les données lorsqu’elles sont stockées sur nos systèmes, et lors de leur transfert vers des plates-formes gouvernementales sécurisées, pour le traitement des demandes de visas.
Une architecture de l’information adaptable
Grâce à cette approche, nous pouvons répondre aux exigences de nos clients gouvernementaux et respecter les réglementations locales. Cela nous permet aussi de déployer cette nouvelle architecture très facilement lorsque nous ouvrons des activités dans de nouveaux pays, sur la base d’un modèle d’implémentation prédéfini. Récemment, nous avons pu valider l’efficacité de nos mesures de confidentialité avec l’obtention de notre nouvelle certification internationale ISO 27701 en matière de protection de la vie privée. Se rajoutant à notre certification ISO 27001 sur la sécurité de l’information, cela nous donne un avantage concurrentiel de taille, démontrant notre souplesse et notre capacité à nous conformer aux mesures de protection au fur et à mesure de leur évolution.
Ce n’est sans doute que le début. Les exigences gouvernementales continueront d’évoluer pour répondre aux progrès technologiques et aux nouvelles innovations commerciales. Chez TLScontact, nous avons établi un cadre qui nous permet de répondre rapidement à ces changements. Nous pouvons poursuivre ainsi le traitement international des données personnelles en toute sécurité et conformément aux normes de confidentialité les plus strictes. Nous adoptons une démarche d’amélioration continue pour répondre aux réglementations locales et permettre le traitement et transfert international des données en toute conformité. Nous pouvons ainsi gérer ces aspects pour nos clients gouvernementaux et leur permettre de se concentrer sur l’instruction des dossiers et les tâches régaliennes.
Article écrit par Opeyemi Ore, Responsable de la cybersécurité
et Alex Zverintsev, Directeur des systèmes d’information