RGPD, PCA/PRA : Les enjeux de la récupération de données

enjeux-récupération-données

La récupération de données pose de véritables défis à l’entreprise. L’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données) et les enjeux des PCA/PRA la placent au cœur de la gouvernance des Systèmes d’Information (SI). Et l’existence-même de l’entreprise peut en dépendre.

RGPD : obligations légales et récupération de données

Le RGPD , réglementation européenne sur la protection des données à caractère personnel avec une entrée en vigueur le 25 mai 2018, n’est pas une directive mais a bel et bien force de loi ! A ce titre, les sanctions encourues par la CNIL pour infraction peuvent s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire de l’entreprise.

La portée du RGPD ne doit pas être sous-estimée : il considère comme donnée à caractère personnel toute information se rapportant à une « personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne (…). » (art. 4(1)). Les moindres références client, informations RH, données associées à un badge numérique, etc. constituent donc des données personnelles.

Afin de se conformer au RGPD, les entreprises doivent donc prendre toutes les mesures nécessaires pour sécuriser le traitement des données à caractère personnel. Cela inclut « la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle » (art. 5(1)f)). Au-delà de la protection des données, le RGPD prévoit que l’entreprise mette en œuvre « des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique » (art. 32(1)c)).

La récupération de données au cœur des PCA/PRA

La récupération de données n’est donc en rien une composante anecdotique du RGPD. Outre les dispositions de l’article 32, le RGPD enjoint les entreprises à déclarer auprès de la CNIL tout incident impliquant une violation de données à caractère personnel. Cette déclaration obligatoire doit, entre autres, « décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives » (art. 33(3)d)).

La confidentialité, l’intégrité, la disponibilité et la résilience des données telles que définies par le RGPD influent désormais sur la politique de gestion des risques de l’entreprise. Elles conditionnent également l’élaboration du PCA/PRA (Plan de Continuité et Plan de Reprise d’Activité) et, le cas échéant, de PRI et PCI (Plan de Continuité et Plan de Reprise Informatique).

La perte de données est en effet la conséquence la plus récurrente des sinistres qui peuvent toucher l’entreprise. L’objet d’un PCA/PRA étant de permettre la reprise ou tout au moins le fonctionnement en mode dégradé de l’entreprise en cas de sinistre, la disponibilité des données demeure un enjeu prioritaire. Naturellement conseillé pour limiter l’impact sur le chiffre d’affaire et l’image de marque de l’entreprise, son élaboration vise désormais à en limiter les impacts légaux.

 


NOS DERNIERS ARTICLES

risques Cyber malveillance

Sensibilisation aux risques numériques : l’ACYMA publie un kit complet en licence libre

L’ACYMA (Actions contre la cybermalveillance) vient de publier la version complète de son kit de sensibilisation aux risques numériques. En téléchargement libre sur sa plateforme numérique cybermalveillance.gouv.fr, cet outil est à la [...]

La récupération de données après une attaque par ransomware

Les ransomware et cryptovirus prennent vos données en otages en cryptant vos supports de sauvegarde online et en attaquant désormais leurs systèmes d’exploitation. Face à des attaques de plus en plus nombreuses et élaborées, Databack [...]
remplacement de carte électronique pcb

Remplacer la carte électronique (PCB) de votre disque dur : une fausse bonne idée ?

Les pannes électroniques engendrent des dommages sur la carte électronique (PCB) du disque dur et la perte d’accès à vos données. Changer la carte électronique semble donc la première chose à faire. Databack vous sensibilise sur les [...]
la récupération de données dans l'industrie

INDUSTRIE – Que faire en cas de perte de données ?

Dans le secteur de l’industrie, l’informatique fait partie intégrante des processus de production. La robotisation et l’automatisation des lignes de fabrication est en permanente croissance. Le fonctionnement des outils dépend alors [...]
Databack
3 rue Vincent AURIOL
Z.I. Acti Sud
85000 LA ROCHE SUR YON
Tél : 02 51 31 11 65