Le RGPD ou Règlement Général sur la Protection des Données est de plus en plus appliqué par la CNIL qui demande régulièrement des sanctions à l’encontre des récalcitrants à l’application de celui-ci, que devriez-vous faire pour éviter d’être dans le collimateur au niveau de votre site internet ?
RGPD ?
Le RGPD a pour but de responsabiliser les collecteurs de données personnelles sur l’utilisation, la manipulation et le stockage des données relatives à des personnes physiques.
Avant ce règlement, c’était un peu le grand n’importe quoi, et tout le monde s’autoriser à faire n’importe quoi de toutes ces données : les revendre, les conserver avec une durée illimitée au risque même de se les faire voler lors d’une attaque informatique.
L’Open-Source ?
Beaucoup de sites internet que nous vendons sont réalisés à l’aide de logiciels open-source comme WordPress, Joomla, Drupal ou bien encore Prestashop dans le cadre d’une boutique en ligne. Ces logiciels dit open-source, sont en effet des logiciels que tout un chacun est libre d’utiliser et tout le monde peut y contribuer quand on sait développer.
Ces outils libres, bien souvent développés en PHP, de part leur côté libre, font que n’importe quel développeur informatique, peut aller voir comment marche l’outil et peut également identifier des points de défaillance au niveau de la sécurité informatique présente dans celui-ci. Nous appelons cela une faille de sécurité et l’exploitation de cette faille peut réduire à néant votre oeuvre ou bien être utilisée afin de récupérer le contenu de la base de données qui est alors ouverte à tous les vents
Comment se prémunir de ces problèmes ?
Concrètement, pour se prémunir le plus possible d’une éventuelle faille de sécurité qui engendrerait du vol de données, il y a plusieurs stratégies :
- Se protéger régulièrement via des mises à jour du logiciel. Nous ne le rappellerons jamais assez, les mises à jour ont un réel intérêt pour vous et le faire régulièrement vous protège mais vous apporte de nouvelles fonctionnalités (vous luttez contre une certaine obsolescence) . Votre hébergeur internet peut également vous aider à augmenter votre niveau de sécurité, c’est le cas avec nos packs d’hébergement professionnels : vous bénéficiez automatiquement d’une couche de sécurité au dessus de votre site internet qui viendra déjouer le plus possibles les attaques.
- Ne pas stocker de données personnelles dans la base de données de votre site internet : beaucoup de sites stockent des données à caractère personnelle dans la base de données, mais au final, un gestionnaire de site internet … n’est pas un CRM (Gestion de la relation clients), ni même un gestionnaire de newsletter … Ces systèmes devraient être externalisés et confiés à des outils qui savent gérer ces données et les gèrent correctement tout en les sécurisant. (Généralement, il n’est pas rare de faire appel à un spécialiste dans un domaine pour gérer un besoin, en informatique, c’est la même chose, chaque logiciel a ses spécificités et il n’y a pas de logiciels qui sache tout faire … )
Une autre solution est d’envoyer directement les données personnelles récoltées dans votre boite e-mail, ainsi, rien n’est stocké sur votre site internet - Chiffrer les données en base de données : les logiciels open-source n’offrent pas cette possibilité.
Qu’est-ce qu’on risque en cas de problème ?
De lourdes sanctions ! Plusieurs exemples sont déjà sortis dans la presse. Au delà de l’aspect financier, il y a également l’image de marque de votre entreprise qui peut en prendre un coup. En effet, si vous laissez fuiter des données, c’est un peu comme si la relation de confiance que votre client vous accordait était entachée.
Vive le Cloud ?
Alors pour ce qui est du Cloud, il y a Cloud et Cloud … en effet, il existe des Cloud de confiance qui sont régis pas les lois européennes et qui obligent les prestataires à respecter les normes et les bonnes pratiques en terme de sécurisation des données et il y a les autres.
En fait, la question est plutôt: comment voulez-vous gérer votre dépendance à ce service et comment voulez-vous maîtriser les données de vos clients ? (quelque part, c’est un peu ce qui fait la valeur de votre entreprise …). Les questions que l’on devrait se poser : que faire en cas de fermeture de celui-ci ? de quelle façon dont les données sont collectées et traitées ? quelle maîtrise du traitement des données vais-je avoir ? quelle réversibilité si les prix devenaient exorbitants ?
Beaucoup, pensent, à tort que mettre des données chez les grands est gage de confiance, ce n’est peut-être pas si vrai que ça … Si un géant de l’internet venait tout de même à exploiter les données que vous lui confiez, qu’il se faisait attraper, la sanction serait tellement petite pour lui, qu’il n’hésiterait pas à recommencer …
Il y a souvent, malheureusement, un grand écart entre dire et faire …
En conclusion
Que vous fassiez appel à un prestataire ou non, vous restez toujours être le responsable du traitement de la données vis à vis de la loi. Si votre prestataire est fautif, vous ne pourrez exclusivement vous décharger sur lui et vous devrez également rendre des comptes.
De notre côté, nous avons fait le choix de maîtriser l’ensemble des données que nous collectons et que nous manipulons, ceci afin d’être responsables de bout en bout.
