L’envoi et le partage de fichiers face aux exigences du RGPD
Nouvelle tendance dans le domaine du partage en ligne : pour envoyer et recevoir des fichiers, il faudra perdre l’habitude d’envoyer des pièces jointes d’e-mail ou celle d’utiliser des liens de téléchargement de solutions gratuites comme DropBox, Wetransfer ou Google Drive.
Le RGPD vient bousculer ces usages
Les mesures de protection que chaque organisation doit désormais prendre avec les données personnelles, imposent que les fichiers qui entrent et sortent de l’entreprise soient, eux aussi, protégés. Il faut prouver que des mesures appropriées sont prises pour réduire les risques sur leur sécurité et leur confidentialité.
Désormais, l’on contrevient au RGPD et l’on engage la responsabilité de son organisation quand on échange des données personnelles par e-mail, un média explicitement public, ou avec un moyen de transfert de fichiers gratuit qui n’offre pas de protection adaptée.
Les données personnelles sont partout
Il n’y a pas que les ressources humaines qui transmettent des données personnelles. Pensez aux voyages d’affaires (papiers d’identité), à un planning indiquant qui se trouve où et quand, aux simples comptes rendus avec la liste des présents, etc. L’on sourit en sachant que jusqu’à très récemment, une majorité des bulletins de paie étaient transmis en pièces jointes d’e-mails par les cabinets comptable.
Le chantier est si vaste, doit-on revenir en arrière ?
Pour ne pas être la première entreprise à se faire sanctionner, faut-il revenir à l’envoi postal des documents sensibles ? Ce serait vrai si la solution était coûteuse et compliquée. Or, pour 100 % des échanges de fichiers, il suffit d’utiliser un service de transferts de fichiers, simple et économique, qui fonctionne comme les services gratuits bien connus du public.
Choisir son service de transfert sécurisé de fichier
L’offre de transfert de fichier est large, popularisée par les solutions américaines controversées.
Pour respecter les exigences du RGPD, il n’existe pas encore de certification en 2018, il faut donc s’assurer de plusieurs points.
Le premier point est la localisation des serveurs en Europe. Les collectivités qui ont l’obligation de garder leurs données sur le territoire douanier français doivent choisir un serveur situé en France, de même que les entreprises qui travaillent avec les collectivités.
Ensuite, vérifiez les mesures de chiffrement des données. Bien sûr, la liaison doit être https, de même le stockage des données doit être chiffré lui aussi, ce qui est bien plus rare.
Puis demandez à votre prestataire quelles mesures sont prises pour que vos données ne soient accessibles ni à son personnel ni à ses sous-traitants ainsi que les mesures prises pour empêcher les hackers d’accéder à vos données.
En France, le service J-Doc.com fait partie de ceux qui répondent à ces exigences.
Être conforme au RGPD
Disposer d’un service adapté pour le partage des fichiers, c’est une petite partie de votre démarche de mise en place du RGPD. C’est pourtant un point important, parce son absence, directement connue par vos contacts externes, représente une vulnérabilité.
Notez enfin que le partage de données sécurisé est juste le moyen de transport, approprié pour vos données personnelles, ce n’est pas l’assurance de votre conformité au RGPD. Votre Délégué à la Protection des Données le déclarera dans le registre des Traitements en tant que moyen de protection adapté.
Les contributeurs experts sont des auteurs indépendants de la rédaction d’appvizer. Leurs propos et positions leurs sont personnels.
spécialiste en sécurité informatique et directeur du service J-Doc.com, solution française de partage sécurisé de documents.