GDPR, PCI, HIPAA ! Trop de réglementations…

Nous sommes « au lendemain » (25 mai 2018) de la mise en application de la loi européenne sur la protection des données : GDPR. Plusieurs plaintes ont déjà été déposées évidemment contre Facebook et Google. Plusieurs sites de nouvelles aux US ont, eux, carrément interdit l’accès à leur site Internet aux internautes européens. Vous ne savez pas de quoi je parle! Je parle des demandes de consentement liées à vos données personnelles (PII) que vous recevez ici et là de vos sites Web préférés. Beaucoup m’ont demandé : « Comment peut-on gérer autant de réglementations, on ne peut pas gérer, c’est trop compliqué! Comment faire? »

Revenir aux bases!

Le risque de non-conformité est un risque aussi vieux que la parution de la première loi humaine. Si l’on ne se conforme pas aux 10 commandements (le Décalogue), on risque les « foudres » théistes ou de ne pas se mériter « son paradis », une fois notre dernière heure venue, tout dépend (ou pas) des croyances de chacun… Il en est de même pour GDPR (ou pour les autres réglementations incluant celles citées dans le titre), on peut prendre le risque de la non-conformité.

Comment gère-t-on ce risque? Ou plutôt, comment gère-t-on un risque? Il n’y a que quatre manières : l’accepter et risquer la sanction, le mitiger/réduire et investir temps ou argent pour implanter un contrôle, le transférer et prendre une assurance par exemple (dans le cas de la réglementation, il est rare qu’un assureur accepte de vous assurer contre le non-respect de la loi ou sinon la prime va être salée) et enfin l’annuler.

Annuler le risque!? Oui. Dans le cas du risque de non-conformité, l’annulation est la meilleure solution, ou en tout cas la plus efficace et la moins coûteuse à long terme. Comment fait-on pour annuler un risque? Un risque est une perte potentielle d’une qualité (disponibilité, confidentialité, intégrité, flexibilité, mobilité, etc.) d’un actif lié à l’impact dû à l’exposition (via une défaillance, par exemple) de cet actif à un agent de menace. En clair, dans le cas d’un incendie résidentiel : l’actif c’est la maison et son contenu, la menace c’est l’huile sur le feu, l’exposition (la défaillance) est l’absence de surveillance de cette casserole d’huile par un adulte responsable. Donc, l’annulation s’opère par la suppression de l’actif : la maison, par exemple. Si pas de maison, pas d’exposition à la menace et à son impact potentiel : pas d’incendie de ladite maison.

Je vois que vous commencez à comprendre où je vous emmène et j’entends déjà certains d’entre vous me dire que cette solution n’est tout simplement pas applicable, car trop extrême. Et bien, prenez le temps de la réflexion et restez avec moi encore pour parcourir les quelques lignes restantes de cet article où je vous dévoile le pourquoi et le comment de la viabilité de cette solution d’annulation du risque.

La majorité des écosystèmes de données ayant obligé les entreprises à la conformité sont souvent des données non capitalisables et inutiles du processus d’affaires réel. Nous n’avons juste pas appris à ne pas les collecter. En effet, la dématérialisation de l’information, la facilité et l’augmentation des espaces de stockage informatique nous ont créé des travers de « boulimie d’informations ». Nous collectons trop d’informations. Les banques ont-elles besoin de votre numéro d’assurance sociale? La réponse est non, pourquoi le demande-t-elle? Par boulimie d’informations. Cette information n’est pas réellement capitalisable et sa collecte ne présente qu’un risque de perte ou de vol supplémentaire de cette information précieuse. Selon l’étude annuelle du Ponemon Institute, une donnée au Canada vaut plus de 250 $ en cas de perte ou de vol, chaque information collectée sur un individu s’additionne. Plus votre dossier d’informations sur un même individu grossit (client, partenaire ou employé), plus le coût global dudit dossier augmente. Ainsi, si vous collectez 20 types d’informations différentes identifiables sur un même individu identifié, ce dossier vous coûtera plus de 5 000 $ en cas de perte ou de vol. Combien avez-vous d’employés ou de clients?

Donc, moins vous collectez de données inutiles, moins vous devez vous conformer à des règles contraignantes et moins lourde sera la facture quand la brèche arrivera. Pour vous parler un peu des acronymes du titre : GDPR (General Data Protection Regulation ou Règlement général sur la protection des données) : ce règlement donne aux citoyens européens le droit de réclamer à toute entreprise le consentement « explicite » et « positif », le droit à l’effacement, le droit de recevoir les données à caractère personnel les concernant qu'ils ont fournies, le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, le droit d’être notifié dès que possible en cas de violation grave de données. PCI est la réglementation du consortium VISA, MASTERCARD, DISCOVER, JCB et AMEX pour la protection des données de cartes de paiement et HIPAA s’applique pour les citoyens américains dans le cadre de la protection de leurs données de santé et d’assurance.

Rappelez-vous que noter une information réglementée sur un morceau de papier est une collecte d’informations à part entière. Donc, la solution : commencez à revoir votre processus de collecte d’informations et rationalisez-le. Si vous n’en avez pas besoin régulièrement alors, ne collectez pas l’information. Ne tentez pas de gérer les cas d’exception ou les « on en aura besoin si ça arrive… », car cela vous poussera à collecter de l’information potentiellement réglementée et inutile pour votre processus d’affaires. Vous devez avoir un  « Mind Chart»  ou une architecture des informations réglementées de tiers (qui ne vous appartiennent pas) dont vous disposez et que vous avez à protéger.

Diminuez votre responsabilité légale et de sécurité en limitant le volume de la collecte d’informations et en rationalisant son traitement. Ce faisant, vous limiterez également votre intérêt pour les cybercriminels.