On ne rigole plus avec les pertes de données personnelles que les consommateurs confient aux entreprises à l’occasion de transactions. La Commission Européenne a décidé de sévir et va imposer des sanctions aux sociétés qui ne prendront pas toutes les précautions nécessaires pour éviter la perte ou le vol d’informations qui doivent rester confidentielles comme, par exemple, les données d’identité et de carte bancaire. Bruxelles veut pénaliser ces infractions en imposant des amendes qui pourraient se monter à des sommes allant jusqu’à 5% du chiffre d’affaires des contrevenants. Il devient donc urgent pour les entreprises, et notamment celles présentes dans le secteur du e-commerce professionnel (B2B) ou grand public (B2C), de faire un bilan exhaustif des dispositions prises pour garantir la confidentialité des informations clients.

Que prévoit le projet de directive européenne ? Le texte européen n’impose pour l’instant aucune spécification technique, comme par exemple un niveau de chiffrement des données, mais indique que les précautions prises doivent être au niveau de l’état de l’actualité en matière de protection informatique. La Commission n’exclut pas néanmoins de publier plus tard des indications techniques précises.

Le projet de directive est plus indicatif sur les suites qu’il convient de donner en cas de perte ou de vol de données personnelles. L’entreprise en cause devra impérativement signaler dans les 24 heures l’incident à l’organisme en charge de la régulation des données informatiques – la Commission Nationale de l’Informatique et des Libertés (CNIL) pour la France – et avertir directement les personnes qui en seront les victimes, sauf si elle démontre que les mesures techniques de protection prises « rendent les données incompréhensibles à toute personne non autorisée à y accéder ». Mais c’est au régulateur de juger « in fine » de l’efficacité de ces mesures et de l’opportunité ou non d’avertir les intéressés.

Le niveau des sanctions évoqué devrait donc inciter toutes les entreprises responsables à faire ou refaire un bilan complet et périodique des dispositions prises en interne mais aussi chez leurs prestataires stratégiques que sont les hébergeurs informatiques. Il est devenu indispensable d’investir dans la protection des données mais aussi dans des procédures et des outils d’investigation pour vérifier à tout moment qui fait quoi, quand et où. Ce principe de précaution est particulièrement important dans le cas de fort volume de données non structurées qui nécessitent des procédures appropriés mises en oeuvre par des personnels compétents, au fait des dernières évolutions technologiques en matière de délinquance informatique et de contre-mesure sécuritaire.

Les hébergeurs peuvent jouer un rôle important dans la politique de protection des données d’une entreprise. Les plus rompus à cette problématique disposent d’une palette d’outils et de solutions offrant diverses stratégies de défense en fonction de la criticité des machines et des applications à protéger. Pour des environnements informatiques complexes reposant sur des infrastructures virtualisées – comme souvent dans le e-commerce – la mise en œuvre d’un portail de sécurité peut être une solution particulièrement efficace. Elle permet en effet la création de nombreux “systèmes virtuels” dédiés à des applications spécifiques, avec des réponses appropriées à des contraintes sécuritaires particulières, comme par exemple les firewalls applicatifs qui vérifient la conformité des paquets par rapport à un protocole attendu. Ce type d’outil est essentiel pour la protection contre les fraudes et les vols de données sur le web, et un composant indispensable pour répondre aux exigences de la norme PCI DSS.

Rappelons que l’accréditation à cette norme dite Payment Card Industry Data Security Standard est incontournable pour les prestataires de services informatiques et leurs clients e-commerçants. Elle implique de satisfaire à douze exigences majeures en matière de protection des données critiques : sécurisation des numéros de cartes bancaires et de leurs transmissions, protection des systèmes informatiques contre les attaques, surveillance de leur environnement humain, etc. La norme PCI est spécifiquement destinée à prévenir le vol des codes des cartes de crédit, à sécuriser leur transfert et à protéger leur sauvegarde. Il est également indispensable que les hébergeurs travaillant avec les acteurs du e-commerce souscrivent et tiennent à jour une certification SSL, le mode de protection des transactions qui authentifie les serveurs d’applications marchandes et assure la confidentialité et l’intégrité des échanges de données par cryptage.

Pour les entreprises désireuses de se conformer rapidement à la nouvelle directive de la Commission Européenne en matière de protection des données personnelles, il est clair que le choix d’un hébergeur compétent et reconnu dans ce domaine devient une décision stratégique majeure.