Le RGPD, pour Règlement Général sur la Protection des Données, entré en vigueur le 25 mai 2018, harmonise les différentes politiques de protection des données personnelles à l’échelle des pays membres de l’Union Européenne. En France, c’est la CNIL, Commission Nationale Informatique et des Libertés, qui gère sa bonne application par l’ensemble des agents économiques du territoire. A l’échelle nationale, les pays disposent chacun d’autres textes évoquant le sujet de la protection des donnée personnelles. En France par exemple, la Loi Pacte, la LMP (Loi sur la Programmation Militaire) ou encore l’article 9 du Code Civil sur la protection de l’intimité de la vie privée, ou enfin plusieurs articles du Code du Travail ayant trait à l’information des salariés ou encore aux atteintes aux droits des personnes résultant des traitements informatiques. Quant à la cybersécurité, il s'agit de l'ensemble des moyens et des mesures mises en oeuvre pour lutter contre les cyberattaques, les vols d'informations et de données, ou encore les malveillances impliquant l'outil informatique. Cybersécurité et RGPD intimement liés, car la CNIL évalue la capacité des entreprises à sécuriser les données de leurs parties prenantes. Ainsi, une politique de conformité rigoureuse au RGPD ne peut pas se passer d'une évaluation constante des risques de fuites de données, et d'une mobilisation pour résorber ou tout du moins réduire ces risques. En contrôle d'accès physique par exemple, si le local technique accueillant la base de données comprenant les droits d'accès des salariés du site est visitée par un assaillant, alors la CNIL devient saisissable par les représentants du personnel au titre du non respect de la protection de la vie privée l'entreprise. C'est pour cette raison que de nombreuses entreprises migrent leur système de gestion des accès physiques aux bâtiments dans le cloud.
Nous sommes aujourd’hui dans une guerre de l’information. S’ils sont bien souvent avant tout humains, les actifs que protègent les entreprises sont tout aussi immatériels que matériels. Etant donnés les enjeux (appels d’offres nationaux ou internationaux, fuite d’informations avant un lancement de produit, éléments probatoires dans le cadre de contentieux juridiques...), les assaillants mettent tous les moyens en oeuvre pour parvenir à leurs fins, qu’il s’agisse de moyens cyber ou de moyens physiques. Par conséquent, si les protections que mettent en oeuvre les entreprises relèvent tout autant de la cybersécurité que du contrôle d’accès, ces protections ne doivent cependant pas l’être au détriment du respect des droits fondamentaux de la vie privée, matérialisés dans l’Union Européenne par le RGPD, le règlement général sur la protection des données personnelles.
Les entreprises ont la responsabilité de protéger les données personnelles de leurs salariés, de leurs clients, et plus généralement de l’ensemble des parties prenantes qui constitue son écosystème d’affaires. Par conséquent, la cybersécurité et le RGPD sont des éléments essentiels d’une gestion des risques de conformité et de réputation. Les entreprises y investissent des talents et des moyens considérables (matériels, logiciels, humains) pour minimiser la surface d’attaque des assaillants potentiels. Par ailleurs, en France par exemple, la CNIL s’autorise à effectuer des contrôles pour vérifier que les entreprises engagent suffisamment de moyens pour s’assurer du bon respect du RGPD en général, et de la bonne protection des informations privées de leurs salariés en particulier.
A priori, cybersécurité et respect des données personnelles ne vont pas bien ensemble. En effet, on imagine les moyens dédiés à la cybersécurité comme omnipotents dans l’entreprise, donc contraires aux objectifs de protection des données ayant trait à l’intimité des personnes. Il n’en est rien ! En réalité, c’est le contraire : la cybersécurité est là pour protéger des attaques extérieurs et donc renforcer la conformité de l’entreprise au RGPD. A l’intérieur de l’entreprise, la cybersécurité doit contribuer à éviter des fuites liées à des failles internes, le plus souvent humaines, et doit être organisée autour d’une gouvernance des données saine, c’est-à-dire ne permettant pas à chaque administrateur applicatif de disposer d’une vue sur l’ensemble des bases de données d’utilisation de leurs systèmes d’information.
Le contrôle d’accès est traditionnellement et historiquement un territoire où se matérialisent les risques les plus saillants pour les entreprises. Le contrôle d’accès, si défaillant ou mal conçu en matière d’architecture technique, exacerbe les risques d’intrusion dans les bâtiments. Le contrôle d’accès, s’il permet à ses administrateurs de visualiser l’ensemble des accès à l’échelle d’un bâtiment multi locataires, présente également des risques de non conformité au RGPD : en effet, un gestionnaire de bâtiments n’a pas le droit de connaître précisément l’identité des allées et venues des salariés d’une entreprise tierce, sauf à en obtenir à chaque passage le consentement écrit de chacun des individus autorisés à accéder. Enfin, le contrôle d’accès présente des risques en matière d’obsolescence informatique, eux-mêmes générateurs de risques cyber capables d’engendrer des dommages importants aux actifs de l’entreprise. En effet, un système d’exploitation serveur obsolète, un logiciel de gestion des accès non mis à jour, une mise à jour avortée par une coupure d’électricité ou encore une maintenance défaillante, génèrent autant de failles de sécurité et donc de coûts de maintien en capacités opérationnelles pour l’entreprise. C’est pour cette raison que de nombreuses entreprises se tournent vers des solutions de contrôle d’accès en SaaS, c’est-à-dire administrées dans le cloud par leurs opérateurs, afin de ne pas prendre la responsabilité de ces risques de conception, de ces risques de conformité, et de ces risques en matière de sûreté du bâtiment voire de sécurité de ses occupants.