Conformité au RGPD

Qu’est-ce que le RGPD ?

En quoi diffère-t-il de la directive de l’UE sur la protection des données personnelles ?

Text

Le RGPD (Règlement général sur la protection des données) est le cadre juridique applicable en UE et au Royaume-Uni, qui a remplacé en 2018 la directive de l’UE sur la protection des données personnelles. La différence principale entre les deux réside dans le fait que l’un est un règlement, et l’autre une directive.

Un règlement est une loi juridiquement contraignante, tandis qu’une directive est une recommandation qui n’a pas force d’obligation. En d’autres termes, le RGPD est une loi qui doit être respectée par l’ensemble des États membres de l’Union européenne.

On peut également affirmer qu’un règlement est un ensemble unique de règles qui doivent être respectées, et qu’une directive est un ensemble de règles qui laisse une certaine liberté d’interprétation.

Si la précédente directive de l’UE sur la protection des données personnelles ne définissait aucunement l’expression « fuite de données », le RGPD la définit très largement comme étant une « violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière. »

Les définitions de « fuite de données » et de « données personnelles » ont leur importance, car de nombreux types d’événement ou d’activité peuvent constituer des infractions au RGPD. Les données personnelles sont définies comme « toute information concernant une personne identifiée ou identifiable – et non seulement les données pouvant être utilisées à des fins de fraude ou d’usurpation d’identité. »

 

Media
Image
GDPR Solutions for Information Security
Text

Quelle est la finalité du RGPD ?

Le RGPD vise à protéger les données personnelles et la façon dont les entreprises traitent et stockent les données, puis les détruisent lorsqu’elles ne sont plus nécessaires. La loi permet aux individus de contrôler la façon dont une entreprise peut utiliser les informations qui leur sont directement et personnellement associées, et établit huit droits spécifiques.

Le RGPD instaure en outre des règles très strictes régissant les mesures à prendre en cas de fuite de données personnelles, ainsi que les conséquences encourues (amendes) auxquelles s’exposent les entreprises.

Comment le RGPD définit-il les « données personnelles » ?

Les règles du RGPD sont les plus strictes au monde sur le plan de la protection des données. Elles donnent une définition très large des « données personnelles» pour y inclure toutes les informations pouvant servir à identifier un individu. Le RGPD peut être appliqué de multiples façons, y compris (sans s’y limiter) dans les cas suivants :

Identification directe/indirecte

Si la personne est directement/indirectement identifiable à partir d’un nom, d’un numéro d’identification, d’une adresse, d’un profil en ligne ou d’une caractéristique unique sur le plan physique, génétique, mental, commercial ou culturel

Données attribuées

Toute donnée attribuée à un individu, comme un numéro de téléphone, une plaque d’immatriculation, un identifiant client, un numéro de carte de crédit, etc.

Adresse IP

Les adresses IP sont concernées si elles sont communiquées, sur demande, par l’organisme de contrôle d’une entreprise.

Text

À des fins de conformité vis-à-vis de la RGPD, il est préférable de garder à l’esprit l’expression « toute information ». Au moment de traiter et de protéger les informations en votre possession, vous devez partir du principe que les données personnelles constituent un facteur d’identification.
Même la Cour de justice de l’Union européenne donne une définition plus élaborée de ces données personnelles, ce qui donne une petite idée de la définition très large adoptée par le RGPD. Lorsqu’un individu est identifiable par des informations enregistrées au moyen de dispositifs tels qu’une pointeuse badgeuse, ou en répondant à un test et aux remarques d’un examinateur, cela peut relever de la définition donnée par le RGPD.


Le RGPD inclut également des informations subjectives dans sa définition des « données personnelles », par exemple des évaluations de performance au travail, des études de solvabilité par un organisme de prêt, etc.

Le RGPD applique également différents niveaux de protection, et soumet les données personnelles sensibles (génétique, santé, origines ethniques, opinions politiques, affiliations religieuses, appartenance syndicale, etc.) à des normes de protection encore plus élevées.

Media
Image
Reporting software simplifies IT security audits
Text

À qui le RGPD s’applique-t-il ?

Les données personnelles couvertes par le RGPD commencent par toutes les données attribuées à une personne physique à sa naissance, englobent toutes les données relatives à cette même personne tout au long de sa vie, et ce, jusqu’à son décès. Les données relatives aux organisations, entreprises, institutions, etc. sont cependant exclues.

Les entreprises stockant ou traitant des données personnelles relatives à des résidents de l’UE sont tenues de se conformer au RGPD, même si elles sont basées hors de l’UE.

Pour rappel, le règlement définit les données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable ».

L’impact du RGPD sur le personnel informatique ne doit pas être négligé. Les contrôleurs, les délégués à la protection des données, les spécialistes du traitement et bien d’autres jouent tous un rôle dans le respect et l’application du RGPD. Voici un rappel des postes associés au respect du RGPD :
Contrôleur :

Contrôleur

L’impact du RGPD sur le personnel informatique ne doit pas être négligé. Les contrôleurs, les délégués à la protection des données, les spécialistes du traitement et bien d’autres jouent tous un rôle dans le respect et l’application du RGPD. Voici un rappel des postes associés au respect du RGPD.

Les 8 droits du RGPD

Droit d’être informé

Avant toute collecte de données, la personne concernée a le droit d’être informée sur la façon dont ces mêmes données seront collectées, traitées et stockées, et à quelles fins.

Droit d’accès

Après la collecte des données, la personne concernée a le droit d’être informée sur la façon dont ces mêmes données ont été collectées, traitées et stockées, les données existantes, et à quelles fins.

Droit de rectification

La personne concernée peut exiger la correction des données incorrectes ou incomplètes.

Droit d’effacement (droit à l’oubli)

La personne concernée a le droit d’exiger la suppression définitive de ses données personnelles.

Droit à la limitation du traitement

La personne concernée a le droit de bloquer ou de supprimer les données personnelles en cours de traitement ou d’utilisation.

Droit à la portabilité des données

La personne concernée a le droit de déplacer, copier ou transférer ses données personnelles d’un contrôleur de données à un autre, de manière sûre, sous un format courant et lisible par une machine. Si cela est techniquement possible, cela inclut le droit de demander le transfert direct des données d’un contrôleur à un autre, sans que la personne concernée n’ait à manipuler ces mêmes données.

Droit d’opposition

La personne concernée a le droit de s’opposer aux autorités publiques ou aux entreprises qui traitent ses données sans son consentement explicite. Elle a également le droit de demander que ses données personnelles soient exclues des bases de données de marketing direct.

Droit d’opposition à la prise de décision automatisée

La personne concernée a le droit d’exiger à ce que les décisions s’accompagnent d’une intervention humaine plutôt que d’être basées uniquement sur des algorithmes.

Liste de contrôle de la conformité au RGPD

Text

Le respect du RGPD est un chemin semé d’embûches. Cette liste de contrôle peut vous aider à partir du bon pied en sachant ce dont vous avez besoin en matière de conformité. Remarque : les informations ci-dessous sont de portée générale et ne constituent pas un avis juridique. Pour connaître la situation de votre entreprise, nous vous invitons à contacter un avocat spécialisé dans le RGPD.

Évaluez vos données

  • Commencez par un audit des informations que vous traitez actuellement, en y incluant des informations sur les personnes qui ont accès.
  • Veillez à ce que la collecte de ces données repose sur un motif juridique.
  • Détaillez votre procédure de traitement et le motif juridique dans votre politique de confidentialité des données

Sécurisez vos données

  • Lorsque cela est possible, utilisez des protocoles de cryptage et d’autres méthodes pour garantir l’anonymat des données personnelles
  • Rédigez une politique de sécurité des données et veillez à ce que les employés soient formés en la matière. Passez régulièrement en revue votre politique et appliquez les points spécifiques qu’elle comporte
  • Veillez à mettre en place un plan de réponse aux incidents afin de signaler les fuites de données, d’atténuer les problèmes et d’apporter des solutions afin d’éviter que des incidents similaires ne se reproduisent

Supervisez vos données

  • Désignez un individu qui sera chargé de veiller au respect du RGPD partout dans l’entreprise
  • Prenez soin de rédiger et de signer un accord relatif au traitement des données avec les éventuels tiers chargés de traiter les données pour le compte de votre entreprise.
  • Si vous opérez en dehors de l’UE, nommez un représentant au sein de l’UE
  • Le cas échéant, nommez un délégué à la protection des données

Remarques relatives à la confidentialité des données

  • Veillez à ce que les données personnelles soient facilement effaçables si des personnes en font la demande
  • Proposez à vos clients un moyen facile de demander l’arrêt du traitement des données si elles en font la demande
  • Veillez à ce que vos clients puissent accéder à leurs données personnelles que vous possédez, sous un format qui facilite le transfert.
  • Faites en sorte que vos clients puissent facilement s’opposer au traitement de leurs données
  • Si vos processus automatisés incluent la prise de décision, veillez à ce que des procédures de protection des droits à la confidentialité des données soient mises en place

Difficultés liées au respect du RGPD

Text

Le strict respect du RGPD comporte sa part de difficultés. Cependant, les pays du monde entier reconnaissent que les strictes directives visant à protéger les données personnelles sont mises en place dans l’intérêt tant des organisations que des individus. Par ailleurs, de nombreux pays prennent le RGPD comme modèle pour élaborer leurs propres règlements de conformité : California Consumer Privacy Act (CCPA), proposition de loi sur la mise en œuvre de la Charte du numérique (Canada), Lei Geral de Protecao de Dados ou LGPD (Brésil).

Pour se conformer, les entreprises ont la lourde mission de protéger les droits de leurs personnes concernées et de mener des études d’impact, mais aussi de signaler les incidents (les fuites de données, par exemple) et de veiller à ce que des procédures d’audit soient mises en place. Si le RGPD est un règlement européen, son rayonnement dépasse les frontières de l’UE : en effet, toute organisation possédant des employés ou des clients au sein de l’UE ou qui utilise des données traitées hors UE doit également s’y conformer.

Le personnel informatique a parfois eu recours à des processus manuels, voire à des contrôles temporaires afin de satisfaire aux exigences lors de l’adoption du RGPD, mais cette approche n’est pas pérenne. A contrario, une technologie robuste de protection des données à la fois automatisée et rationalisée, sera plus en mesure de s’aligner sur les strictes exigences réglementaires en matière de limitation d’accès aux données personnelles et de sécurisation des données inactives et en transit. Les trois sujets de préoccupation majeurs pour les équipes informatiques sont les suivants :

Sécurité

À l’heure où les fuites de données coûtent des millions d’euros et où les dépenses en matière de relations publiques s’envolent, la sécurité des données conforme au RGPD est un atout essentiel. Ainsi, il est conseillé aux équipes informatiques d’investir dans des solutions de sécurité telles que le cryptage, le transfert de fichiers géré et la gestion des identités et des accès.

Gestion des données

Le RGPD donne aux individus le droit de demander l’accès, le transfert, la suppression ou le traitement de leurs données personnelles : pour relever ce défi, les équipes informatiques doivent mettre en place des solutions techniques à la fois efficaces et transparentes. Elles doivent également veiller à ce que les solutions choisies puissent faire l’objet d’audits afin d’en vérifier la conformité. Ce n’est pas tout : pour respecter la réglementation en cas de fuite de données, ces mêmes équipes informatiques doivent veiller à ce qu’elles disposent de suffisamment d’employés dûment formés pour signaler et atténuer tous les incidents qui se produisent.

Automatisation

La question du stockage et de la gestion de l’état du consentement des personnes concernées sein de l’entreprise est un enjeu majeur. L’Article 30 du RGPD porte sur la nécessité d’enregistrer les activités de traitement des données personnelles. Ces activités étaient manuellement consignées au départ, mais ces dossiers devaient être régulièrement mis à jour : l’automatisation contribue à rationaliser cet aspect tout en permettant aux informaticiens de se consacrer à des tâches à plus forte valeur ajoutée. Les plate-formes et outils de collaboration, mais aussi la mise en place de flux de travaux et de règles métier peuvent faciliter le respect de l’Article 30 du RGPD.

Une suite de solutions de sécurité qui vous aide à respecter le RGPD

Le respect du RGPD exige une approche multi-niveaux. Notre suite de solutions de sécurité offre la meilleure réponse qui soit en appliquant les politiques mises en place et en s’intégrant en toute transparence partout dans votre entreprise. La suite de sécurité Fortra comporte un éventail de solutions axées sur la sécurité, conçues pour vous aider à satisfaire les exigences de la RGPD.

Sécurité des e-mails

Avant l’envoi par e-mail de données personnelles, Clearswift applique un traitement de sécurité optimal basé sur le contenu de vos données et les politiques du RGPD en matière de confidentialité. Les données sensibles sont nettoyées/anonymisées, cryptées et bloquées ou supprimées en temps réel, selon les règles commerciales que vous avez établies pour vous conformer au RGPD.

Classification des données

Les solutions de classification des données Fortra facilitent le respect du RGPD grâce à l’application d’étiquettes visuelles sur les métadonnées des fichiers, afin d’en protéger et d’en contrôler l’utilisation. L’ajout d’une classification aide les utilisateurs à déterminer la façon dont une information donnée doit être traitée, manipulée, stockée, puis supprimée. La classification ajoute une fonctionnalité rationalisée, tout en renforçant la sécurité et la conformité des données.

Évaluations des vulnérabilités et protection anti-intrusion

Les solutions de sécurité Powertech facilitent la démonstration de conformité vis-à-vis du RGPD. Les entreprises peuvent identifier et quantifier automatiquement les lacunes de sécurité de leur système tout en consolidant ce dernier face au risque d’intrusion. En outre, la fonctionnalité robuste d’audit des utilisateurs et des fonctions système facilite le respect des exigences d’audit en vertu du RGPD.

Transfert de fichiers géré (MFT) et sécurisé

Les solutions MFT complètes facilitent le respect de certains principes du RGPD, à savoir : transmission sécurisée des données personnelles via le cryptage, vérifications de l’intégrité des transferts afin de préserver l’exactitude des données, fourniture de pistes d’audit détaillées et élaboration de rapports sur l’ensemble des transferts. Les données personnelles sont protégées en transit et at rest, tandis que les rôles d’accès utilisateur granulaires ajoutent une couche de sécurité aux données.

Protection des infrastructures

La suite de protection des infrastructures Fortra comprend des outils de gestion des vulnérabilités, de services et logiciels de test de pénétration, de simulation « Red Team » et de détection d’intrusions. Ces solutions surveillent et évaluent votre infrastructure afin d’identifier et de hiérarchiser les risques éventuels, protégeant ainsi vos données sensibles et garantissant votre conformité. Dotées de fonctionnalités de rapport complètes, ces solutions facilitent la démonstration de la conformité auprès d’auditeurs externes.

Prévention de perte de données

Le RGPD stipule que les spécialistes du traitement doivent veiller à ce que les données personnelles ne soient utilisées à aucune autre fin que celles auxquelles elles étaient destinées. La solution Data Loss Prevention de Digital Guardian facilite le respect du RGPD : elle permet aux entreprises de détecter, de surveiller et de contrôler efficacement les données personnelles transmises sur le réseau, en cours d’utilisation/at rest sur les postes de travail, sur les serveurs réseau et dans le stockage cloud. Les données sont suffisamment protégées face au risque de transmission, de divulgation, d’utilisation ou de stockage non autorisé. Les fonctionnalités d’analyse et de rapport, quant à elles, fournissent la documentation clé afin de démontrer la conformité vis-à-vis du RGPD.

Nous pouvons vous aider à respecter le RGPD

Contactez les experts Fortra et bénéficiez d’une consultation gratuite de 30 minutes pour découvrir les solutions les mieux adaptées à votre entreprise. Nous vous aiderons à planifier vos prochaines actions afin de garantir votre conformité vis-à-vis du RGPD.