The Doppler Quarterly (FRANÇAIS) Édition spéciale 2019

Le programme de conformité continue propose une approche holistique et programmatique de la conformité, à la fois en termes de techniques et de procédés. Impact du cloud dans les secteurs d’ac- tivité fortement réglementés Les défis en matière de conformité sont, bien entendu, variables d’un secteur d’activité à l’autre. La migration dans le cloud exac- erbe les effets de réglementations et de contrôles déjà complexes et interdépendants dans des secteurs extrêmement réglementés tels que les services financiers ou la santé. Quelle que soit l’activité exercée, les pénalités en cas de non-con- formité sont lourdes : amendes, pertes d’activité et de clientèle, licenciements, mises à pied, voire, dans certains cas, des peines d’emprisonnement. Dans le commerce de détail, par exemple, les entreprises sont aux prises avec les effets de la nouvelle régle- mentation PCI, qui exige qu’une entreprise protège les données de carte de crédit et l’identité de ses clients. Celles qui ne se con- forment pas à cette règle s’exposent à des frais plus élevés pour les transactions par carte de crédit, voire au retrait pur et simple de la possibilité de proposer le paiement par carte. Comment on le voit, les risques posés par la non-conformité n’en valent claire- ment pas la chandelle. Importance de la situation géographique Il serait intéressant que les entreprises puissent retravailler globalement leurs procédures de conformité simplement d’après les modifications imposées par le cloud. Mais les règles de confor- mité valables dans un lieu donné ne concordent pas toujours avec 88 | THE DOPPLER | ÉDITION SPÉCIALE 2019 celles d’un autre lieu. Prenons le cas des réglementations GDPR et FCA. Ce double arsenal juridique créé au Royaume-Uni oblige les entreprises à protéger la confidentialité des données individu- elles. Leur apparition est liée à la nécessité de gouverner l’utilisa- tion des données individuelles en Europe, mais elles s’appliquent à toutes les entreprises mondiales qui visent la clientèle européenne. Et il ne s’agit là que des derniers exemples de réglementations spécifiques à un lieu géographique qui modifient complètement la donne pour les entreprises élaborant des plans de conformité. À mesure que l’adoption du cloud se généralise, il faut s’attendre à une multiplication des dispositions gouvernementales visant à assurer la prise en compte et la protection des données. La conformité doit être surveillée et actualisée On confond souvent à tort la surveillance de la sécurité et de la conformité. Assurément, la sécurité entre pour une grande part dans la conformité, et la possession d’outils générant des rapports sur la détection des menaces, ainsi que le niveau de préparation à la sécurité, sont des critères essentiels pour la survie de n’importe quelle entreprise. Pourtant, la surveillance de la conformité implique bien plus qu’un simple suivi des atteintes à la sécurité. Le suivi régulier fournit des mises à jour et des évaluations régulières des problèmes, dans le cloud et au-delà, qui évoluent plus rapidement et de façon plus inattendue que jamais auparavant. Cette surveillance délivre des

The Doppler Quarterly (FRANÇAIS) Édition spéciale 2019 | Page 90