Aller au contenu
Traitement des données sensibles au temps, Traitement des données, Plateforme de traitement des données, Traitement des données

Par Jim Vaughn, Tim LaTulippe et Dan Rupprecht le 18/10/20 07:00

Dans le monde actuel de la technologie et des exigences légales en constante évolution, les considérations relatives au traitement des données sont devenues d'une importance cruciale. Il existe plusieurs niveaux de considération, notamment les obligations légales, la confidentialité et la logistique. Ceci est un exemple de la façon dont les clients basés en Europe peuvent fournir avec soin et stratégie des données pour un litige ou un litige basé aux États-Unis. 

Il convient de noter qu'aucun contenu ici n'est destiné à être un avis juridique, mais plutôt une démonstration de notre expérience technique et industrielle en matière de transfert de données à travers les frontières. Les questions juridiques devraient en fin de compte être évaluées par un avocat.  

Considérez les « faits » suivants pour illustrer cet exemple.  

  • Cette affaire concernait un ensemble de données d'entreprise qui avaient été créées et stockées dans des profils de dépositaires individuels employés par une société basée en Allemagne et aux États-Unis.  
  • Bien que les dépositaires aient accordé l'accès et l'autorisation aux données, il y avait encore certains flux de travail et précautions prises pour s'assurer que les données avaient été correctement traitées par le "processeur de données" avant qu'elles ne soient finalement consultées par l'équipe juridique américaine.  
  • Les ensembles de données comprenaient : un ensemble d'e-mails (des milliers étant cryptés S/Mime), des fichiers électroniques en vrac (c'est-à-dire des documents autres que des e-mails) et des données collectées à partir d'un système de gestion de documents.  
  • Les données devaient être "déchiffrées", "traitées" et "recherchées" en Europe et les données résultantes transférées au conseil européen du client pour un traitement ultérieur conformément aux clauses contractuelles types ou aux règles d'entreprise contraignantes détenues par le cabinet.       

Relations définies

Lorsque l'on opère en Europe, il serait négligent de ne pas prendre en considération les nombreuses règles et réglementations qui aident à définir l'accessibilité des données d'une juridiction à l'autre. En 2018, le Règlement général européen sur la protection des données ou « RGPD » est entré en vigueur, contribuant à créer une certaine uniformité entre les États membres. L'application peut différer légèrement entre les membres de l'Union européenne, mais les directives sous-jacentes sont celles sur lesquelles on peut compter pour aider à dicter le processus d'extraction des informations à utiliser dans les affaires juridiques ou réglementaires. Il est important de comprendre les rôles que jouent les différentes parties pour s'assurer que les droits des personnes concernées ne sont pas enfreints.

Dans le scénario présenté ici, les données résidaient en Allemagne. La société au centre du différend juridique basé aux États-Unis avait été chargée d'extraire des informations relatives à certaines personnes clés d'intérêt pour une enquête plus approfondie.

  • Contrôleur de données: Dans le cadre du RGPD, l'entreprise ainsi que ses conseils externes sont dans la position de « responsable du traitement », qui peut être définie comme : la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; lorsque les finalités et les moyens d'un tel traitement sont déterminés par le droit de l'Union ou d'un État membre, le responsable du traitement ou les critères spécifiques pour sa désignation peuvent être prévus par le droit de l'Union ou d'un État membre.
  • Processeur de données: iDS a été placé en position de « sous-traitant ». Dans le cadre du RGPD, ce rôle peut être défini au sens large comme une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

En tant que sous-traitant expérimenté, nous avons pu attirer l'attention du conseiller juridique sur les questions liées à la protection des données, en veillant à ce que toute instruction liée au traitement desdites données soit conforme à la réglementation. Bien que nous ne fournissions pas de conseils juridiques, nous connaissons la loi et, à ce titre, nous devons nous assurer que nos propres actions sont correctement prises en compte du point de vue de la protection des données. Cela a nécessité une coordination minutieuse et une compréhension claire, qui ont toutes deux été bien couvertes par les parties concernées.

Transfert transfrontalier

Dans ce scénario, avec une seule option viable et un délai serré, l'équipe de consultants a pu pivoter, en utilisant les propres ressources du cabinet d'avocats et le cadre de transfert existant pour effectuer la tâche à accomplir. Cela n'a pas nécessité le long processus de formulation à partir de zéro d'un aperçu détaillé des actions requises (qui n'ont pas pu être réalisées dans les délais convenus). En positionnant le cabinet d'avocats comme partie cédante, iDS a pu se concentrer sur le traitement des données et les mettre entre les mains des ressources locales, c'est-à-dire les bureaux de conseils externes en Europe. Avec les options d'accessibilité et de transfert comprises, il était temps de se concentrer sur les rouages de la réalisation du travail.

Les écrous et les boulons

L'équipe iDS a pu « mettre en place », au sein de « The Cloud », une opération de serveur complète en 72 heures, y compris une plate-forme de traitement de données tierce, dans la région AWS de Francfort.[1] Pour aider la solution, l'équipe a également exploité un serveur SFTP dans l'environnement AWS qui est capable de parler directement à la plate-forme de traitement, ce qui signifie que les données transférées par l'entreprise se trouvaient déjà dans la zone de préparation finale sans qu'il soit nécessaire de les déplacer en plus afin de processus et triage.

Le nuage – Dissiper certaines illusions

C'est 'le nuage'

la perception

La perception principale parmi les averses au risque est compréhensible; cependant, les données sont ne pas flottant dans un éther non sécurisé. La puissance informatique et le stockage sont simplement loués aux clients et l'infrastructure qui les alimente diffère à peine d'une configuration de serveur bare metal interne. Le terme « cloud » est un excellent marketing, mais il est tout aussi difficile de s'y retrouver dans les conversations sur la protection des données en raison d'un manque de consensus et de compréhension.

Sécurité par conception

Sites physiques

Si les clients cherchent à louer un espace de centre de données sécurisé dans un lieu donné, le point de vente de ces installations est en contact avec les préoccupations des acheteurs - accès aux bâtiments, inondations, tremblements de terre, tornades, incendies de forêt. Services Web Amazon (AWS) sélectionnent leurs sites sur les mêmes critères. N'oubliez pas : ils protègent certains de leurs propres systèmes dans ces centres, pas seulement les Cloud privé virtuel (VPC) des environnements clients. Ces sites sont également entièrement équipés avec une entrée multi-facteurs pour le personnel, des portes de sas, une vidéosurveillance - les travaux.

Gros avantages

L'utilisation d'EC2 Compute (les PC virtuels d'AWS) au lieu de serveurs bare metal présente de nombreux avantages. Les avantages les plus évidents sont le temps de mise en service et la possibilité d'étendre la portée géographique (mobilité).

Coût

Si les opérations sont intelligemment surveillées par des consultants familiarisés avec le cadre, cela peut également générer des économies de coûts évidentes, car les ressources sont prêtes plutôt que des coûts fixes.

Temps

Lors d'un récent engagement avec plus de 400 Go de données de messagerie d'un client allemand, l'équipe a pu collecter et traiter par la suite 80 à 100 Go de données par jour en temps quasi réel. Ce succès est double ; 1) les conditions de bande passante étaient favorables à la fois pour le client et l'équipe iDS, de sorte que le transfert SFTP (téléchargement) des données de messagerie était 4 à 5 fois plus rapide que les moyennes du marché[2], et 2) la plate-forme de traitement des données décompressait, analysait et traitait très facilement les données pour le triage à des vitesses inédites sur presque toutes les autres plates-formes utilisant cette même configuration. L'équipe iDS a pu charger, trier, rechercher et produire des documents dans les 24 heures suivant la réception de la première grande tranche.

Disponible partout

Il y a eu un certain nombre d'engagements où les clients insistent pour que l'équipement lourd et nu soit transporté sur place vers un emplacement, par exemple, en Autriche ou en Allemagne. Cela se poursuivra car certaines entreprises et industries ont des problèmes de perception stricts liés aux données quittant leurs propres locaux, sans parler de l'entrée dans un environnement de serveur non contrôlé par leur propre équipe. Ce blog démontre cependant des options alternatives viables et acceptables.

Pour plus d'informations sur la manière dont iDS peut vous aider à résoudre les problèmes transfrontaliers, veuillez contacter l'un des auteurs à l'adresse jvaughn@idsinc.com, tlatulippe@idsinc.com ou drupprecht@idsinc.com.

[1] Protection des données spécifique à la région

[2] Basé sur la connaissance de l'industrie et l'expérience des téléchargements dans la gamme 500k - 1MB.

fr_FRFR