rgpd un résumé des meilleures pratiques - centrify.com · rgpd un résumé des meilleures...

WWW.CENTRIFY.COM

RGPD Un résumé des meilleures pratiques


©2018 Centrify Corporation All Rights Reserved. Centrify.com b

Le RGPD va s’appliquer à un plus grand nombre d’organismes et de données 1

Il y aura plus de risques mais aussi plus d’opportunités 1

Ce que vous devez faire 2

Comment Centrify peut vous aider ? 7

Information in this document, including URL and other Internet Web site references, is subject to change without notice. Unless otherwise noted, the example companies, organizations, products, domain names, email addresses, logos, people, places and events depicted herein are fictitious, and no association with any real company, organization, product, domain name, e-mail address, logo, person, place or event is intended or should be inferred. Complying with all applicable copyright laws is the responsibility of the user. Without limiting the rights under copyright, no part of this document may be reproduced, stored in or introduced into a retrieval system, or transmitted in any form or by any means (electronic, mechanical, photocopying, recording, or otherwise), or for any purpose, without the express written permission of Centrify Corporation.

Centrify may have patents, patent applications, trademarks, copyrights, or other intellectual property rights covering subject matter in this document. Except as expressly provided in any written license agreement from Centrify, the furnishing of this document does not give you any license to these patents, trademarks, copyrights, or other intellectual property.

http://www.centrify.com


©2018 Centrify Corporation All Rights Reserved. Centrify.com 1

À compter du 25 mai 2018, de nouvelles règles relatives à la protection des données personnelles appelées Règlement Général sur la Protection des Données (RGPD) vont entrer en vigueur dans toute l’Europe dans l’objectif de renforcer la protection des données personnelles des personnes physiques.

Centrify a travaillé avec le cabinet spécialisé Cordery pour développer ce guide répertoriant à la fois, les cas dans lesquels le RGPD s’applique, les impacts majeurs de ce nouveau règlement mais aussi les mesures que vous devez prendre afin de vous y conformer. Dans cette note, nous utiliserons certains termes techniques liés au RGPD – vous pouvez trouver plus d’informations à leur sujet ici : https://www.cnil.fr/fr/glossaire.

Le RGPD va s’appliquer à un plus grand nombre d’organismes et de donnéesLe RGPD va s’appliquer:

• non seulement aux organismes européens mais aussi aux sociétés étrangères offrant des biens et services dans l’Union Européenne (UE) ou surveillant le comportement de personnes physiques dans l’UE

• aux organismes de tous types et de toutes tailles, en ce compris les autorités publiques mais aussi les PME et les multinationales

• aux données personnelles des personnes physiques dans l’UE (y compris celles qui ne sont pas citoyen ou résident européen).

• à une grande variété d’informations relatives à l’identification des personnes physiques ou à partir desquelles une personne physique pourrait être identifiée directement ou indirectement (pouvant inclure les adresses IP ou des dossiers physiques dans un système de fichiers), et

• à une série de données personnelles plus sensibles, incluant les données révélant les origines raciales ou ethniques, les opinions politiques, religieuses ou philosophiques ou une appartenance syndicale, les données génétiques, biométriques, relatives à la santé ou la vie sexuelle d’une personne ou encore son orientation sexuelle. Ces données sensibles doivent faire l’objet de la mise en place de protections supplémentaires.

Il y aura plus de risques mais aussi plus d’opportunitésLe RGDP va également entrainer le renforcement:

• des obligations de compliance pesant sur les entreprises concernées

• des droits des personnes dont vous utilisez les données personnelles

• des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaire annuel global pour les infractions les plus graves, sans oublier les dommages pour votre réputation et l’impact sur la confiance des consommateurs

• d’autres activités de régulation, tels que des audits et des inspections.

Mais tout n’est pas négatif. Il y a une multitude d’opportunités pour des entreprises innovantes proposant des services de compliance.


https://www.cnil.fr/fr/glossaire



Exigence du RGPD Que dois-je faire? Pourquoi est-ce important?

Traiter les données personnelles équitablement, licitement et de manière transparente

(Articles 5(1)(a) et (b), 6-10

et 12-14))

• Expliquer clairement aux personnes dont vous collectez les données comment vous allez les utiliser, et ne pas les utiliser pour un objet autre que celui indiqué.

• Obtenir le consentement des individus ou vous assurer que vous pouvez légalement traiter leurs données sur un autre fondement juridique.

• Plus les personnes se sentent informées et ont l’impression d’avoir le contrôle sur leurs informations, moins elles sont susceptibles de se plaindre.

• Chaque utilisation de données personnelles/données sensibles nécessite un fondement juridique - le consentement n’est qu’un fondement parmi d’autre et pas toujours le plus approprié (car il est compliqué de l’obtenir valablement et il peut être retiré).

Collecter et conserver seulement les données personnelles réellement nécessaire et détruire ces données lorsque vous n’en avez plus besoin.

(Articles 5(c) et (e))

• Définir des formulaires et processus physiques ou en ligne qui ne collectent que le minimum de données personnelles nécessaires au vu de l’objet du traitement de données que vous envisagez.

• Détruire de manière sécurisée les données dont vous n’avez plus l’utilité.

• Utiliser des données anonymisées ou protégées par un pseudonyme dès que possible.

• Si un minimum de données sont détenues:

- Cela représente moins de données à soumettre aux règles de compliance du RGDP (y compris celles des droits d’accès des individus – voir ci-dessous) et,

- Cela réduit l’impact en cas de violation des données.

• Des données correctement anonymisées ne sont pas des “données personnelles” (et le RGPD ne s’applique donc pas) ; l’utilisation de pseudonyme (keycoding) est une mesure de sécurité encouragée.

S’assurer que les données détenues sont exactes et à jour.

(Article 5(1)(d)

• Intégrer des systèmes de révision, des tests de qualité et des protocoles de nettoyage des données dans le processus de gestion des données.

• Inviter les personnes à mettre leurs informations à jour régulièrement.

• Si quelqu’un demande à ce que ses informations soient corrigées ou mises à jour, le faire rapidement (et avoir un processus de support pour ces opérations).

• Des informations incorrectes ou non à jour peuvent avoir un impact sur les personnes si elles sont ensuite utilisées pour des décisions importantes les affectants.

• Des coordonnées de contact inexactes peuvent entraîner la non délivrance de communications importantes.

Ce que vous devez faireLe RGPD est un texte long et complexe, mais le tableau ci-dessous vous donnera les informations clés dont vous avez besoin.





Assurer la sécurité des données

(Articles 5(1)(f) et 32)

• Utiliser des mesures organisationnelles ou d’ordre technique pour assurer d’un niveau de protection des données approprié, comprenant des protections contre des traitements non autorisés ou illégaux ainsi que contre d’éventuelles pertes, destructions ou altérations accidentelles des données.

• Ces mesures doivent être proportionnées aux risques, et doivent inclure des mesures telles que:

- L’utilisation de pseudonymes ou le cryptage des données personnelles.

- La garantie de la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement

- Une restauration rapide de la disponibilité et de l’accès aux données personnelles en cas d’incident physique ou technique.

- Des processus de tests réguliers évaluant la sécurité.

• S’il est établi à posteriori que la violation aurait pu être évitée par des mesures de sécurité appropriées, ceci peut entraîner une sévérité accrue de l’amende ou des autres sanctions de l’autorité réglementaires.

• L’erreur humaine joue souvent un rôle dans la violation des données renforçant ainsi la nécessité d’établir un système de vérification et de contrôle approprié dans le processus, de manière à réduire le risque d’accès ou de divulgations accidentels ou non autorisés.

• Si des supports/medias/documents cryptés sont perdus ou envoyés à la mauvaise personne et que les informations sont illisibles et donc non exploitables, l’impact sur les personnes pourra être considéré comme nul et la violation pourrait donc ne pas être signalée aux autorités de régulation.

S’assurer d’être prêt à gérer les droits accrus des personnes.

(Chapitre III)

• Les personnes physiques ont le droit de consulter une copie des données que vous détenez les concernant, de les corriger, de les faire supprimer ainsi que dans certaines circonstances, de s’opposer à leur traitement et de requérir leur communication à un tiers (portabilité).

• Des mesures techniques et organisationnelles doivent être mises en application pour faciliter l’exercice de leurs droits par les personnes concernées.

• Les personnes physiques ont le droit de ne pas être sujettes à certaines décisions automatiques ou au profiling. Une intervention/révision humaine devra alors être intégrée au processus de traitement.

• Il doit être répondu aux demandes d’accès aux données dans un délai de un mois dans la majorité des cas. En cas de non-respect du délai, le demandeur peut signaler l’absence de réponse aux autorités réglementaires ou vous assigner en justice.

• Si vous établissez un système efficient (comme par exemple la gestion des préférences en self-service), cela peut réduire les ressources allouées à la gestion des demandes tout en établissant une relation de confiance avec les personnes concernées.





S’assurer que les nouveaux produits et processus sont élaborés en appliquant les principes de la “privacy by design” et “privacy by default”

(Article 25)

• S’assurer que les nouveaux produit/processus soient élaborés en prenant en compte les obligations en termes de protection des données personnelles et que les réglages par défaut aient pour résultat le niveau de protection des données le plus élevé.

• Prendre en compte la question de la protection des données personnelles en amont (en impliquant des experts de ce sujet dès le début) va permettre de concevoir des produits en adéquation avec les exigences du RGPD. Si la protection des données personnelles est considérée trop tardivement, cela pourrait entrainer des coûts plus importants pour remédier postérieurement au problème (ou même entraîner l’annulation du projet dans sa globalité).

Élaborer et tenir à jour un registre des activités de traitement

(Article 30)

• Lister tous les traitements de données ayant lieu au sein de l’entreprise dans un document unique (papier ou électronique) mentionnant pour chaque traitement de données le nom du responsable, la raison du traitement, la catégorie des données traitées, le destinataire des données, les éventuels transferts en dehors de l’UE de ces données, la durée de conservation, les mesures de sécurité mises en place ainsi que le nom et les coordonnées des éventuels sous-traitants.

• Ces registres doivent être communiqués sur demande aux autorités de protection des données et sont une première indication de votre conformité au regard du RGPD.

• Ils vous permettent d’avoir une vision générale du traitement des données au sein de votre entreprise et de détecter de potentiels domaines de non-conformité de manière à y remédier.

Nommer un délégué à la protection des données

(Article 37)

• Si les activités de base de votre entreprise consistent à traiter des données qui sont par leur nature, leur portée ou leur objet, soumises à l’exigence d’un contrôle régulier ou d’une surveillance systématique des données personnelles ou consistent à traiter des données sensibles, vous devez nommer un délégué à la protection des données (DPD).

• Si les activités de base de votre entreprise consistent à traiter des données qui sont par leur nature, leur portée ou leur objet, soumises à l’exigence d’un contrôle régulier ou d’une surveillance systématique des données personnelles ou consistent à traiter des données sensibles, vous devez nommer un délégué à la protection des données (DPD).

• Le DPD est le point de contact central concernant la protection des données au sein de l’entreprise. Il a une vision globale de cet enjeu.

• Le DPD conseille l’entreprise sur tous les enjeux relatifs à la protection des données et est associé à toutes décisions pouvant avoir une influence sur celle-ci.

• Il/elle est le premier point de contact des autorités de protection des données et centralise les demandes des personnes concernées.





Faire des Analyses d'Impact relatives à la Protection des Données (AIPD) lorsque vous mettez en œuvre un nouveau traitement.

(Articles 35)

• Avant de commencer des activités de traitement de données à haut risques, en particulier si elles nécessitent le recours aux nouvelles technologies, impliquent du profiling ou le traitement de gros volumes de données personnelles ou d’images de télésurveillance dans les espaces publics, une AIPD doit être réalisée.

• La réalisation d’une AIPD peut être judicieuse même dans les cas où celle-ci n’est pas obligatoire.

• Les AIPD sont des outils clés pour l’évaluation des risques et impliquent l’identification des risques liés à la protection des données dans l’optique de les minimiser/éliminer.

• Elles peuvent également être utiles dans l’hypothèse d’un problème futur, pour démontrer aux autorités de régulation que la protection des données a été raisonnablement prise en compte.

Partager les données personnelles de manière responsable

(Article 28 et Chapitre VII)

• Restreindre l’accès aux données personnelles en interne aux personnes ayant réellement besoin de connaître l’information.

• Partager les données personnelles uniquement avec des tiers de confiance dont vous êtes sûre qu’ils respectent les exigences du RGPD.

• Mettre en place des contrats de traitement des données conformes au RGPD avec tous les prestataires de services que vous utilisez pour le traitement des données personnelles (et avec tous les clients dont vous traitez les données personnelles).

• S’assurer que les données personnelles ne sont pas transférées en dehors de l’Espace Economique Européen à moins que des modèles de clauses de l’UE, des règles d’entreprises contraignantes, des Privacy-Shields, ou d’autres mécanismes autorisés soient utilisés.

• S’assurer que les personnes concernées ont été suffisamment informées concernant l’identité des tiers avec lesquels leurs données vont être partagées, mais aussi où et pourquoi.

• Vous devez vous assurer que vous gardez le contrôle sur les informations que les personnes physiques et clients vous ont confiées et que des mesures de protection adéquates ont été mises en place avec les tiers qui ont accès aux données personnelles.

• Quand vous traitez des données personnelles pour le compte de clients, vous devez vous assurez que vous n’engagez pas votre responsabilité d’une manière excessive et répercutez toutes vos obligations dans vos contrats avec vos propres sous-traitants.

• Les transferts de données à l’international sont particulièrement risqués, et d’autant plus si les données personnelles sont transférées vers un pays ne disposant pas de lois aussi rigoureuses sur la protection des données qu’en Europe.

• Pensez toujours au pire scénario possible, à la fois du point de vue de la personne concernée et du régulateur – est ce que les droits fondamentaux seraient impactés par l’envoi des données à l’étranger à quelqu’un dont elle n’a jamais entendu parler, pour une raison dont elle n’a jamais été informée ou dans l’hypothèse d’une violation des données ?





Être prêt à réagir rapidement et efficacement face à une violation des données.

(Articles 33 et 34)

• S’assurer que les violations de données soient détectées rapidement de manière à pouvoir les signaler aux autorités de régulation dans les 72 heures si besoin et aux personnes concernées (si requis). Ces dispositions s’appliquent aux données électroniques comme les emails ou aux données physiques comme des dossiers entreposés dans une armoire.

• Être capable de réunir rapidement les informations pertinentes relatives à la violation des données pour le rapport aux autorités de régulation, comme les catégories et le nombre approximatif de personnes concernées et de dossiers impliqués ; qui avait accès aux données ; l’identité du DPD/les informations concernant d’autres points de contact ; les effets potentiels de la violation ; les mesures prises ou proposées pour faire face à la violation et en minimiser l’impact.

• Mieux vaut prévenir la violation que la guérir

• Une réponse rapide et efficace à une violation est la clé pour réduire son impact potentiel.

• Les amendes/ actions coercitives imposées par les autorités de régulation seront plus sévères dans l’hypothèse de violations répétées ou si l’autorité de régulation avait préalablement recommandé des actions à réaliser et que celles-ci n’ont pas été suivies.


Centrify delivers Zero Trust Security through the power of Next-Gen Access. The Centrify Zero Trust Security model assumes that users inside a network are no more trustworthy than those outside the network. Centrify verifies every user, their devices, and limits access and privilege. Centrify also utilizes machine learning to discover risky user behavior and apply conditional access — without impacting user experience. Centrify’s Next-Gen Access is the only industry-recognized solution that uniquely converges Identity-as-a Service (IDaaS), enterprise mobility management (EMM) and privileged access management (PAM). Over 5,000 worldwide organizations, including over half the Fortune 100, trust Centrify to proactively secure their businesses. To learn more visit www.centrify.com.

US Headquarters +1 (669) 444 5200 | EMEA +44 (0) 1344 317950 | Asia Pacific +61 1300 795 789 Brazil +55 11 3958 4876 | Latin America +1 305 900 5354 | [email protected]

Centrify is a registered trademark, and The Breach Stops Here and Next Dimension Security are trademarks of Centrify Corporation. Other trademarks mentioned herein are the property of their respective owners. ©2018 Centrify Corporation. All Rights Reserved.

Comment Centrify peut vous aider ?Le RGDP ne définit pas explicitement les contrôles qui doivent être mis en œuvre pour limiter les risques dans ce domaine – en fait, ceci pourrait bien être une volonté délibérée afin que la loi demeure adaptée alors que de nouvelles technologies apparaissent et disparaissent, et que les organisations ne se limitent pas à une approche purement formelle de la compliance.

Cependant, le RGDP dispose que « le responsable de traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », en prenant en compte « l’état des connaissances et les coûts de mise en œuvre ». Le suivi des dernières avancées technologiques et des meilleures pratiques en matière de sécurité est dont essentiel pour éviter des violations dommageables. Ou au moins, si vous subissez une violation, ce suivi vous aidera à éviter des amendes pour négligence.

De très nombreuses violations résultent de l’utilisation par les organisations de systèmes d’authentification basés sur des mots de passe. Une mauvaise gestion des mots de passe facilite le travail de l’intrus, lui permettant de cracker ou de hacker des comptes confidentiels et d’obtenir un accès aux données les plus sensibles de votre organisation.

C’est pourquoi Centrify recommande une authentification multifactorielle (MFA) basée sur les risques, qui peut décider si une tentative de login est risquée ou non et demander plus d’information de l’utilisateur si nécessaire. Cette solution combinée avec une approche de limitation des accès – en s’assurant que les employés n’ont pas plus d’accès aux systèmes, commandes et fonctions que ceux dont ils ont strictement besoin – vous permettra de bien commencer votre respect de la conformité au RGDP.

Avertissement

La présente note est uniquement à des fins d’information et l’information dans la présente note ne constitue pas un avis juridique. La loi change régulièrement et cette note définit la position en septembre 2017. Si vous avez besoin d’un avis juridique sur une question précise, vous devriez consulter un avocat spécialisé. Dans le mesure de ce qui est permis par la loi, ni Centrify ni Cordery n’effectue aucune déclaration, n’accorde aucune garantie ou n’encourt aucune obligation en relation avec l’information fournie dans la présente note.

Cordery helps manage the ever-increasing compliance burden. Cordery provides innovative ways of helping General Counsel, compliance professionals and heads of legal across industries manage compliance. Using the expertise of seasoned compliance professionals and the content and technology capabilities of LexisNexis UK we provide expert advice and compliance solutions.

Cordery is licensed by the Solicitors Regulation Authority in the UK as an Alternative Business Structure so that we can provide our solutions and services with the quality, confidentiality and legal privilege that clients value in managing compliance.

rgpd un résumé des meilleures pratiques - centrify.com · rgpd un résumé des meilleures...

Documents