Règlement général sur la protection des données – RGPD ou GDPR

Règlement général sur la protection des données – RGPD ou GDPR

Le Règlement général sur la protection des données (RGPD ou GDPR en anglais) entre en vigueur le 25 mai 2018 et s’appliquera à toute entreprise opérant au sein de l’Union européenne ou traitant avec des clients basés dans l’UE. Il remplace la directive européenne de protection des données adoptée en 1995. Et ce avec l’objectif d’harmoniser les lois de protection des données personnelles des citoyens de l’Union européenne.

Le GDPR impose à toute entreprise opérant dans l’UE ou à toute entreprise étrangère traitant avec des clients de l’UE de stocker et traiter toutes les données personnelles dans les limites des frontières européennes. Sauf consentement explicite de la personne concernée à ce que ses données soient conservées en dehors de l’UE.

Les données personnelles ne peuvent être conservées plus longtemps que la période de rétention convenue initialement. Elles doivent être protégées conformément aux nouvelles règles. Le responsable du traitement de données et le sous-traitant sont tenus de « mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque ».

Le GDPR exige aussi un mécanisme de reporting pour aider le responsable du traitement de données à identifier les données personnelles stockées sur ses serveurs. Et à confirmer, sur demande, le lieu du stockage, les conditions de chiffrement et la suppression des données.

Voici quelques exigences clés de GDPR:

  • Protection des données par conception et par défaut – Vos équipes de sécurité et d’ingénieur doivent travailler ensemble pour s’assurer que les processus de conception sont en place pour répondre à cette exigence du GDPR. (Des principes de « protection des données dès la conception » et de « sécurité par défaut » : le règlement européen définit le principe de « protection des données dès la conception » qui impose aux organisations de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractère personnel. De plus, le règlement consacre la nouvelle règle de la « sécurité par défaut » qui impose à toute organisation de disposer d’un système d’information sécurisé (article 25 du règlement))
  • Droit d’effacement («Droit à l’oubli») – Peut-être l’élément le plus connu des nouvelles lois du GDPR, les entreprises doivent évaluer des solutions techniques et / ou procédurales pour satisfaire à cette exigence du GDPR. (Le droit à l’effacement : la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais (article 17))
  • Désignation d’un délégué à la protection des données (Data Protection Officer).
  • Stratégie de sécurité des données – Toutes les stratégies de sécurité des données doivent être conformes au GDPR.
  • Plan d’intervention en cas d’incident (Plan de reprise d’activité PRA)- Les entreprises devraient maintenir un plan d’intervention en cas d’incident qui est revu annuellement.
  • Politique de confidentialité – Votre politique de confidentialité actuelle doit être modifiée / mise à jour pour se conformer au GDPR.
  • Le délégué à la protection des données doit être associé à toutes les questions de protection des données à caractère personnel. Ses principales missions sont de contrôler le respect du règlement, de conseiller le responsable des traitements sur son application et de faire office de point de contact avec l’autorité de contrôle, de répondre aux sollicitations de personnes qui souhaitent exercer leurs droits.

Fournisseur de stockage Cloud

  • Les fournisseurs de services Cloud doivent apporter des garanties suffisantes sur la conformité du service aux exigences techniques et organisationnelles du GDPR.
  • À l’expiration du contrat de service, toutes les données doivent être supprimées du Cloud et le sous-traitant doit apporter les preuves suffisantes que c’est bien le cas.

la conformité du stockage au GDPR

  • La localisation du stockage des données. Les solutions doivent permettre de contrôler où les données sont stockées, sur site ou dans un datacenter spécifique basé en Europe.
  • Le chiffrement des données au repos, en transit et dans le Cloud est essentiel. Et l’entreprise doit détenir la clé.
  • La recherche de données dans les sauvegardes pour trouver l’information voulue.
  • La possibilité de modifier les données personnelles des individus concernés.
  • L’exportation des données dans un format courant facile à utiliser (une archive ZIP, par exemple).
  • La restauration rapide des données en cas d’incident (incendie, cyberattaque, etc.).
  • La protection active contre les attaques par ransomware et la possibilité d’une restauration instantanée des données affectées.
  • Une certification des données basée sur la technologie blockchain.

Conclusion :

Pour être conforme au GDPR, les entreprises ne peuvent pas uniquement dépendre de la redondance des services cloud que se soient en mode SaaS, PaaS ou IaaS.

Une sauvegarde cloud to cloud ou cloud to local est nécessaire.

La mise en conformité avec le GDPR est donc l’occasion pour les entreprises de revoir les solutions en place. Pour remplacer certaines d’entre-elles, si besoin, et faciliter une mise en conformité durable, il convient d’étudier et d’envisager les solutions et technologies les plus pertinentes. L’objectif étant de garantir la meilleure protection des données, en conformité avec les obligations réglementaires du GDPR.