Assurer la conformité des données sensibles au RGPD

Trouvez les données réglementées par le RGPD sur n’importe quelle source de données, à n’importe quel endroit, et surveillez-les en continu. Répondez aux demandes du droit à l’oubli des personnes concernées et aux directives de minimisation des données.

Aperçu du RGPD

Le règlement général sur la protection des données (RGPD) est considéré comme l’ensemble de règlements sur la protection des données le plus important au monde. Il unifie les lois sur la confidentialité des données dans les pays membres de l’UE et signale la position ferme de l’Europe sur la confidentialité des données. Le RGPD a été adopté à la fois par le Parlement européen et le Conseil européen en avril 2016 et est devenu exécutoire à partir de mai 2018.

Le règlement a une grande portée, couvrant chaque aspect de l’utilisation des données, y compris la collecte, le stockage, la récupération, la modification et la destruction. Il crée également une responsabilité personnelle pour les « responsables du traitement » et les « sous-traitants » et établit des droits clairs pour les consommateurs afin qu’ils puissent agir en cas d’utilisation abusive des informations.

Suite au Brexit, les règles ne s’appliquent plus aux données collectées sur les consommateurs basés au Royaume-Uni. Les données personnelles collectées sur les résidents du Royaume-Uni sont désormais soumises à la loi sur la protection des données de 2018. Cependant, dans la pratique, les mêmes principes, droits et obligations fondamentaux en matière de protection des données du RGPD existent toujours.

Le RGPD s’applique aux traitements effectués par des organisations opérant au sein de l’UE. Il s’applique également aux organisations situées en dehors de l’UE qui collectent des données auprès des résidents de l’UE, leur font de la publicité ou les servent, ainsi qu’aux entreprises qui traitent des données dans l’UE.

Pour que le RGPD soit applicable, il n’est pas nécessaire que les entreprises aient des clients européens ou qu’elles ciblent activement des clients européens. L’intention d’offrir des biens et des services (comme la livraison dans le monde entier, même sans mentionner explicitement l’UE), nécessite la conformité avec le RGPD – même sans aucune activité économique.

La juridiction du RGPD ne s’applique pas aux entreprises dont le contrôleur de données:

  • Fait partie d’un organisme gouvernemental ou d’un organisme chargé de l’application de la loi qui collecte des données à des fins de prévention de la criminalité, d’enquête ou de poursuites judiciaires.
  • Traite des données liées à la défense, à la sécurité et/ou à la sécurité publique
  • Traite des données liées à l’intérêt national (social, santé, budget, sécurité nationale, etc.)

Le RGPD définit les données personnelles comme suit:

» Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette
personne physique. «

Bien qu’une liste complète ne soit pas fournie, selon la définition ci-dessus, les données personnelles sont toutes les informations qui se rapportent à un individu qui peut être directement ou indirectement identifié. Cela inclut : le nom, l’adresse électronique, les données financières, les informations de localisation, l’origine ethnique, le sexe, les données biométriques, les croyances
religieuses, les cookies, les opinions politiques – et toute autre donnée personnellement identifiable.

Les directives détaillées pour assurer la conformité au RGPD sont structurées autour des 7 principes suivants:

  1. Légalité, équité et transparence : Les personnes dont les données sont collectées et traitées (« personnes concernées ») doivent être informées à l’avance. À cette fin, les organisations doivent mettre à disposition une politique de confidentialité claire et concise et obtenir un contenu explicite de la part des consommateurs.
  2. Limitation de la finalité : Les entreprises doivent traiter les données uniquement aux fins légitimes spécifiées à la personne concernée lors de la collecte.
  3. Minimisation des données : Seules les données absolument nécessaires aux fins spécifiées doivent être collectées – et toutes ces données doivent être protégées au mieux des
    capacités de l’entreprise.
  4. Exactitude : Les données personnelles figurant dans les fichiers doivent être exactes et à jour.
  5. Limitation du stockage : Les données d’identification personnelle ne peuvent être stockées que le temps nécessaire à la réalisation de l’objectif spécifié.
  6. Intégrité et confidentialité : Le traitement doit être effectué de manière à garantir une sécurité, une intégrité et une confidentialité appropriées (par exemple, en utilisant le cryptage).
  7. Responsabilité : Il incombe au responsable du traitement des données d’être en mesure de démontrer la conformité au RGPD de l’ensemble de ces principes.

Par ailleurs, le RGPD stipule, entre autres, que les entreprises doivent :

  • Désignez un délégué à la protection des données (DPD) qui supervisera la conformité. Le DPD doit être signalé à l’autorité de contrôle de la protection des données responsable.
    Cette personne sera chargée de gérer les droits des personnes concernées en temps utile.
  • Réglementer la responsabilité entre le contrôleur des données et le sous-traitant. Pour cette relation d’affaires, un accord de traitement des données (« DPA ») est nécessaire. Un DPA définit des règles sur la manière dont le Processeur peut utiliser les données personnelles pour atteindre l’objectif de l’accord commercial.
  • Des mesures doivent également être prises pour minimiser le risque de violation des données, qui est défini comme la perte, la destruction ou l’accès non autorisé à des données personnelles. En cas de violation des données, des processus doivent être mis en place pour gérer la violation dans un délai de 72 heures. Il peut s’agir d’alerter à la fois l’autorité de contrôle et les personnes concernées.
  • Analyser les risques et impacts possibles sur les droits des citoyens pour l’utilisation prévue des données personnelles. Les entreprises doivent procéder à une évaluation des risques
    si elles comptent utiliser les données personnelles de façon innovante, en changeant de fournisseur de cloud ou en créant de nouveaux services. Ce processus s’appelle une analyse d’impact sur la protection des données (« DPIA ») et est défini à l’article 35 du RGPD.

En vertu du RGPD, les « personnes concernées » ont les droits suivants en matière de protection de la vie privée:

  • le droit d’être informé et de savoir quelles données sont conservées dans le dossier
  • le droit d’accès à ces données
  • le droit de rectification, ou de correction des erreurs dans leurs données
  • le droit à l’effacement ou à la suppression
  • le droit de restreindre le traitement
  • le droit à la portabilité des données
  • le droit de s’opposer à l’utilisation de leurs données
  • droits relatifs à la prise de décision automatisée et au profilage

À l’article 83 du RGPD, l’UE décrit les infractions et les amendes administratives qui font partie du RGPD. Chaque pays dispose de ses propres autorités de collecte de données indépendantes qui
utilisent les critères pour déterminer l’amende associée à une infraction.

Le RGPD divise les infractions en deux niveaux, chacun ayant ses propres limites d’amende:

  • Les infractions de niveau 1 sont passibles d’une amende pouvant aller jusqu’à 10 millions d’euros (10,5 millions de dollars) ou 2 % du chiffre d’affaires de l’entreprise pour l’année précédente, le montant le plus élevé étant retenu.
  • Les infractions de niveau 2 sont plus graves et donnent lieu à des amendes plus élevées, pouvant aller jusqu’à 20 millions d’euros (21 millions de dollars) ou 4 % du chiffre d’affaires
    de l’année précédente, le montant le plus élevé étant retenu.

Comment Qohash assure la conformité au RGPD

Fournissez aux auditeurs la preuve que des mesures claires ont été prises pour garantir la confidentialité des informations relatives aux clients et les protéger contre les menaces et les accès non autorisés.

Consultez le guide complet de l’UE ici.

Respectez l'article 30

Solution Qohash

Avec Qohash, les données sensibles et non structurées sont découvertes, classées et étiquetées, fournissant un inventaire complet jusqu’à 50 fois plus rapidement que les autres solutions. Les données se voient attribuer un niveau de risque et sont triées de manière à ce que des mesures correctives puissent être prises immédiatement, garantissant ainsi le respect des clauses de protection des données.

Des listes de contrôle d’accès peuvent également être générées pour analyse. Cela permet d’avoir un aperçu des problèmes de contrôle d’accès et d’autres lacunes critiques afin de prendre des mesures pour les corriger.
Qohash permet de savoir où les données ont été déplacées et à qui elles ont été transmises lorsqu’elles ont quitté les serveurs.

suite

L’article 30 du RGPD exige que les entreprises présentent tous les détails de la collecte des informations personnelles, y compris l’endroit où elles sont stockées. Le respect de l’article 30 nécessite une carte claire de toutes les données sensibles et un aperçu du lignage des données.

Analysez l'impact sur la protection des données

Solution Qohash

Qohash fournit un inventaire complet des données sensibles réglementées par le RGPD sur chaque source de données, une étape fondamentale pour mener une DPIA et minimiser le risque de violation de données.

Accédez facilement à une liste de contrôle pour évaluer si les personnes ayant un accès en ont un besoin professionnel légitime. Obtenez un aperçu de tous les points d’exposition critiques des données sensibles.
Voyez combien de données se trouvent sur les systèmes de l’entreprise et qui y a accès. Mettez en place des politiques, configurez des niveaux de risque adaptés à l’entreprise et recevez des notifications dès qu’une violation de politique se produit.

suite

L’article 35 du RGPD couvre les évaluations d’impact sur la protection des données. Les DPIA aident à minimiser la responsabilité et à garantir le
respect des meilleures pratiques en matière de sécurité et de confidentialité des données. Elles permettent également d’éviter les violations de données, qui peuvent déclencher certaines
exigences réglementaires.

Exécutez les demandes de suppression

Solution Qohash

Effectuez des recherches par mot-clé par nom, date, numéro de carte de crédit et autres pour trouver toutes les copies de données personnelles dans les systèmes de l’entreprise. Voyez quelles catégories de données sensibles sont stockées sur les systèmes de l’entreprise.

Supprimez des données directement dans la
plateforme pour démontrer la conformité aux demandes de suppression de données en tout lieu – y compris les points de terminaison.

suite

L’article 17 du RGPD stipule que les personnes ont le droit de faire effacer leurs données personnelles. Ce droit est également connu sous le nom de « droit à l’oubli ».

Meet the minimization principle

Solution Qohash

Pour mettre en oeuvre une politique de suppression des données, les entreprises doivent savoir quelles données sont collectées, où elles sont stockées sur les systèmes de l’entreprise et quand ces données ne doivent plus figurer dans les fichiers.

Qohash répertorie des pétaoctets de données. Une fois les données cataloguées, créez des politiques de conservation personnalisées en marquant les informations à conserver, en mettant en place des flux de travail qui régissent la durée de stockage des données et en configurant des notifications pour savoir quand les données doivent être supprimées.

suite

L’article 5, paragraphe 1, point c, du RGPD stipule que les entreprises ne doivent collecter que les informations essentielles et ne les conserver qu’aussi longtemps que ces dernières sont réellement nécessaires.

Demandez une démonstration

Découvrez comment vous pouvez tenir un inventaire des données réglementées par le RGPD et fournir aux autorités réglementaires la preuve d’une surveillance des données en continu, du traitement des demandes de droit à l’oubli aux points d’extrémité et de l’application des politiques. 

Contactez-nous

Inventaire des données sensibles
Satisfaire aux audits PII et PCI
Assurer la conformité GDPR et NYDFS
Améliorer la gouvernance des données
Obtenir la certification SOC2
Surveillance des menaces internes
Verrouillage des terminaux
Détectez les abus de politique en temps réel
Accélérez les investigations
Quantifiez votre niveau de risque pour votre conseil d’administration
Défier les limites
Témoignages de nos clients