PGS

PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004

Support

Support, en France, en français, pour vos projets en avant-vente (PoC) ou en après-vente, dans le cadre de la maintenance applicative (AMS)

Logo PG Software
mercredi, 31 mai 2017 12:18

Préparez-vous ! Le GDPR arrive !

Évaluer cet élément
(0 Votes)

Êtes-vous prêt pour le 25 mai 2018 ?

Se préparer à la mise en place des GDPR

Dans un peu moins d'un an, l'Union européenne mettra en œuvre le Règlement Général sur la Protection des Données (RGPD), le 25 mai 2018. Ce règlement décrit comment les organisations - commerciales et non commerciales - peuvent contrôler et traiter les données personnelles des résidents de l'UE. WannaCry et d’autres récentes attaques par ransomware ont créé le chaos à travers la planète. WannaCry a eu des conséquences graves. Mais bientôt, les retombées de telles cyberattaques seront encore pires, car les organisations soumises au RGPD seront également confrontées à de graves pénalités financières dans le cas où les données des utilisateurs finaux seraient compromises.

Avec un règlement comme le RGPD, les entreprises devront tout simplement payer le double en cas de violation de données liée au non respect des règles de conformité. Si une entreprise ne dispose pas de systèmes de sécurité appropriés déployés pour générer des rapports d'incident après une violation de données, elle devra payer de lourdes pénalités pour violation de conformité. De plus, elle devra également dédommager ses clients pour la perte de données confidentielles. Et les choses seront encore pires si les pirates abusent de données financières.

Avant de nous pencher sur les répercussions de cette réglementation sur les attaques de sécurité, nous allons voir de quoi traite le RGPD. Composé de 11 chapitres et 99 articles, le RGPD va devenir l'une des réglementations de conformité les plus strictes au monde, redéfinissant complètement les notions de données personnelles, de traitement des données et de traitement légitime.

Examinez plus en détail les exigences de conformité et vous verrez que le RGPD traite de deux préoccupations majeures :

  • Les techniques et règles pour collecter des données personnelles
  • Le traitement légitime des données personnelles

Dans nos articles sur le sujet, nous exposons en détail les mesures techniques et organisationnelles que les entreprises doivent adopter pour se conformer à ce nouveau réglement. Ci-dessous, nous allons tenter de répondre à certaines des principales questions fréquemment posées concernant les exigences du RGPD.

1. Qui doit se conformer au RGPD ?

La conformité au RGPD traverse les frontières. En effet, si vous traitez des données de citoyens de l'UE, que votre organisation soit ou non physiquement dans l'UE, vous devez vous conformer au RGPD.
Cela nous conduit à une autre question. Est-ce que vous devez respecter le RGPD si vous établissez une entreprise au sein de l'UE mais que vous ne traitez pas de données personnelles au sein de l'UE ? La réponse est oui !

Le respect de la RGPD est requis pour toute entreprise qui :

  • Collecte et traite des données personnelles de citoyens de l'UE, peu importe où la société se situe.
  • Est implémentée dans l'UE, quel que soit l'endroit où elle traite les données personnelles de ses clients.

2. Que doit être considéré comme des données personnelles ?

Les données personnelles comprennent les données relatives aux citoyens de l'UE, comme :

  • Le nom.
  • Le numéro d'identification social.
  • Les informations de localisation.
  • Les données d’identification biologique unique (ex : informations biométriques, photos, ou empreintes digitales).
  • Les informations de carte de crédit ou toute autre information bancaire.
  • Les informations de santé (santé physique, génétique et mentale).
  • Les données liées à la situation financière.
  • Les opinions politiques, culturelles et religieuses.

Le RGPD a également étendu la portée des données personnelles aux identifiants en ligne, dont les adresses IP, les tags d'identification par radiofréquence (RFID) et les cookies.

3. Qu'est-ce que le traitement des données ?

Le traitement des données comprend l'enregistrement, le tri, la structuration, le stockage, la modification, l’utilisation et la transmission des données personnelles. Le RGPD accorde également une importance particulière à la collecte des données, un sous-ensemble du traitement des données.

4. Quelles mesures techniques et organisationnelles dois-je prendre pour respecter le RGPD ?

  • Auditez vos systèmes : Suivez les activités qui se déroulent sur votre réseau et recherchez des écarts dans le traitement des données. Assurez-vous de surveiller :
    • Les activités sur les systèmes sur lesquels les données personnelles sont stockées
    • Les accès aux systèmes de stockage et aux données personnelles
    • Les changements critiques sur les données personnelles
  • Déployez des systèmes de sécurité appropriés pour prévenir, combattre, contenir, et signaler immédiatement les violations de données.
  • Mettez en œuvre des systèmes pour effectuer une analyse a posteriori afin d’évaluer rapidement l'impact des violations de données, le cas échéant.
  • Assurez-vous que vous disposez de systèmes d'évaluation des risques appropriés. Si vous manipulez des données sensibles, une violation de données pourrait détruire votre entreprise. Le RGPD recommande fortement de mettre en place des systèmes d'évaluation des risques dans votre environnement afin de s'assurer que tout est sécurisé.

5. Qu'est-ce que mon organisation est censée faire en cas de violation de données ?

  • Si vous traitez des données personnelles et que vous êtes victime d’une violation de données :
    • Avisez le contrôleur dans les plus brefs délais (dans les 72 heures). Si la violation de données n'est pas rapidement signalée à l'autorité de contrôle, vous êtes tenu de fournir une raison valable à ce retard.
    • Dans le rapport de notification :
      • Donnez des détails sur la nature de la violation de données, dont le nombre approximatif de personnes dont les données ont été compromises et les enregistrements qui ont été compromis.
      • Listez un contact référent dans votre organisation.
      • Décrivez les conséquences de la violation de données.
      • Décrivez les mesures prises (ou que vous proposez de prendre) afin de répondre à ces violations de données.
  • Si vous êtes un contrôleur :
    • Documentez l'événement de violation des données, ses effets et les mesures correctives prises.

Suivez notre blog pour plus d’informations sur les mesures techniques et organisationelles que vous devez mettre en place pour répondre aux exigences du RGPD.

Lu 1877 fois

Éléments similaires (par tag)

Plus dans cette catégorie : « Le RGPD (ou GDPR) : exigences relatives à la collecte des données Exigences du RGPD (ou GDPR) : mesures techniques et organisationnelles à mettre en œuvre »
Retour en haut

Copyright © 2024 ManageEngine.fr - N° de dépôt 543JV4 - Conçu par NosyWeb.fr - Expert Joomla

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.