RGPD : guide de mise en conformité

Notez que cet article n’a qu’une valeur informative. Il n’a pas pour but et ne doit pas être considéré ou interprété comme un conseil juridique. Vous ne devez pas agir ou vous abstenir d’agir sur la base du contenu de cet article sans demander l’avis d’un avocat ou d’un autre professionnel.

Lisez aussi :

• RGPD et sauvegardes : bonnes pratiques
• Le RGPD et le cryptage

Qu’est-ce que le RGPD ?

Le RGPD (règlement général sur la protection des données) est un règlement général de l’Union européenne qui entrera en vigueur le 25 mai 2018, et qui va affecter toutes les entreprises opérant dans l’UE ou traitant avec des clients de l’UE.

Le RGPD élargit la définition de ce qui constitue des données personnelles et privées pour inclure non seulement les dossiers financiers, gouvernementaux et médicaux, mais aussi les informations génétiques, culturelles et sociales.

Les entreprises doivent désormais obtenir le consentement spécifique d’une personne avant d’utiliser ses données personnelles, et doivent également honorer son « droit à l’oubli », pour que toutes les données personnelles détenues par l’entreprise soient supprimées à la demande de l’utilisateur.

Définitions et rôles

Le RGPD décrit les définitions et les rôles suivants :

• Personne concernée : Un citoyen de l’UE qui est identifiable par ses données personnelles.
• Contrôleur : Une entreprise opérant au sein de l’UE – ou en dehors de l’UE mais traitant avec des résidents de l’UE – qui capture des données sensibles sur les résidents de l’UE dans le cadre de ses activités.
• Processeur : Une entreprise commerciale qui capture des données sensibles sur des individus de l’UE et qui agit en tant que contractant d’un responsable du traitement. Il s’agit par exemple d’entreprises proposant des services en nuage, du stockage ou de l’hébergement d’applications.
• Données personnelles : Toute information relative à une personne physique identifiée ou identifiable. Cette notion est définie de manière plus large par l’UE que par d’autres gouvernements, et comprend le nom du citoyen de l’UE, son adresse électronique, ses publications sur les médias sociaux, ses informations physiques, physiologiques ou génétiques, ses informations médicales, sa localisation, ses coordonnées bancaires, son adresse IP, ses cookies, son identité culturelle, etc.
• Violation de données personnelles : Une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès à des données personnelles transmises, stockées ou traitées d’une autre manière. Les entreprises doivent signaler chaque incident de violation de données à « l’autorité de surveillance » dans les 72 heures suivant le moment où elles en ont pris connaissance.
• Droit à l’oubli : Le droit de chaque citoyen de l’UE à ce que ses données personnelles soient effacées et ne soient plus traitées. Les données doivent également être supprimées des sauvegardes.

Principales exigences du RGPD

Le GDPR exige que les données personnelles ne puissent être conservées qu’aussi longtemps qu’elles sont nécessaires à la finalité initiale et doivent être protégées conformément aux nouvelles règles.

Selon l’article 32, le responsable du traitement et le sous-traitant sont tous deux tenus de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir l’intégrité et la sécurité des données, la résilience des systèmes et la capacité à restaurer rapidement les données, y compris le cryptage ou la pseudonymisation. Les procédures et technologies de sauvegarde sont clairement une exigence indirecte du règlement.

Le RGPD se concentre sur le concept de responsabilité selon lequel les entreprises devront « démontrer » qu’elles respectent les principes relatifs à la protection des données personnelles. Cela impliquera la mise en œuvre de processus plus démontrables et le maintien d’une approche proactive.

Conformité au RGPD et sauvegardes

Il est temps de discuter de la manière d’assurer la conformité au RGPD et d’évoquer le rôle des sauvegardes dans ce cadre. Nous proposons un modèle en 5 étapes pour se conformer au RGPD :

• Connaissez vos données et cartographiez leur position
  La première étape concerne l’analyse et l’identification de tous les processus de collecte et de traitement des données personnelles, dans le but de cartographier l’endroit où elles sont stockées, que ce soit dans les locaux de l’entreprise ou dans ceux de tiers. Cette carte sera incluse dans la documentation.
• Réglementez l’accès aux données
  Une fois la cartographie terminée, il est important de vérifier qui a accès aux données et pour quelle raison. L’audit vous permettra d’identifier les points critiques et, dans ce cas également, les informations recueillies seront précieuses pour la documentation. N’oubliez pas de prendre en compte les administrateurs informatiques et les partenaires externes.
• Protègez les données
  La protection des données doit être assurée en adoptant tous les systèmes disponibles comme les logiciels anti-malware, les pare-feu, la politique de sécurité, la formation et, bien sûr, le maintien des sauvegardes. Uranium Backup vous permet de protéger toutes les données personnelles collectées par votre entreprise car il peut effectuer des sauvegardes de fichiers et de dossiers, de bases de données, de machines virtuelles, d’images système et de boîtes aux lettres Exchange. Vérifiez cette page pour découvrir les meilleures pratiques pour une stratégie de sauvegarde conforme au RGPD.
• Documentation
  Le RGPD exige que les contrôleurs et les propriétaires démontrent l’application de mesures adéquates pour protéger les données personnelles, il est donc extrêmement important de disposer d’une documentation complète sur les processus et les mesures de sécurité. Nous devons également rappeler de signaler les violations de données dans les 72 heures qui suivent la découverte et le droit à l’oubli, cela inclut les sauvegardes.
• Restez toujours à jour
  Les entreprises sont des organismes vivants, toujours en évolution, et il en va de même pour le contexte dans lequel elles sont en concurrence. Pour assurer une protection efficace des données personnelles, il faut une approche proactive, une approche passive n’est tout simplement pas suffisante. Être au courant des nouvelles technologies et des menaces est une exigence pour réagir et s’adapter.