Blog

checklist for gdpr compliance

La règlementation générale sur la protection des données (RGPD) est souvent considéré comme le règlement le plus strict au monde en matière de sécurisation des données privées des utilisateurs. Il s'applique à toutes les entreprises qui traitent les données personnelles des citoyens et résidents de l'Union européenne, et les amendes pour non-respect peuvent atteindre 20 millions d'euros.

Dans cet article, nous explorons la nature de ce règlement, énumérons ses principes clés et proposons une liste de contrôle en sept étapes pour satisfaire aux exigences de conformité de la directive. Cet article sera utile aux entreprises qui suivent déjà la RGPD et à celles qui vont entrer sur le marché de l'Union européenne.

 Qu'est-ce que la RGPD ?

La règlementation générale sur la protection des données est une règlementation relative à la protection de la vie privée et à la sécurité des données adopté par l'Union européenne (UE). Elle impose des obligations à toutes les entreprises qui collectent et traitent les données personnelles des résidents de l'UE, même si ces entreprises opèrent en dehors de l'UE.

La RGPD permet aux résidents de l'UE de contrôler leurs données personnelles et oblige les entreprises à  :

  • Rassembler, collecter et gérer les données personnelles selon des règles strictes
  • Protéger les données contre les mauvais usages et leur exploitation
  • Respecter les droits du propriétaire des données

Les deux pierres angulaires du RGPD sont les données personnelles et le traitement des données :

personal-data-and-data-processing

Il est également important de se familiariser avec les termes spécifiques que la RGPD introduit pour définir les rôles associés au traitement des données : responsables du traitement des données, personnes concernées et sous-traitants.

data-controller-subject-and-processor

Qui doit se conformer à la RGPD

Toute entreprise qui stocke ou traite des informations personnelles sur des résidents de l'UE est tenue de se conformer à la GDPR, même si l'entreprise est située en dehors de l'UE.

Il y a pourtant des nuances. Par exemple, les entreprises qui comptent moins de 250 employés sont libérées de la plupart des obligations en matière de tenue de registres (voir Article 30.5), bien qu'ils doivent encore satisfaire à d'autres exigences du RGPD.

Toutefois, même si votre entreprise emploie moins de 250 personnes, vous pourriez être obligé de tenir des registres selon les règles strictes de la RGPD dans le cas où votre traitement de données à caractère personnel :

  • est susceptible d'entraîner un risque pour les droits et libertés des personnes concernées
  • n'est pas occasionnel
  • comprend des catégories spéciales de données telles que celles mentionnées dans l'Article 9
  • comprend les données à caractère personnel relatives aux condamnations pénales et aux infractions décrites dans l'Article 10

do-you-need-to-comply-with-gdpr

Pourquoi devriez-vous vous conformer à la RGPD?

Le respect des règles de conformité de la RGPD ne consiste pas seulement à se conformer aux exigences obligatoires. Il peut également aider votre entreprise à faire ce qui suit :

Protéger les données personnelles

Les articles de la RGPD mettent en œuvre des normes élevées pour la sécurité des données personnelles, obligeant les responsables du traitement des données à sécuriser "toute information relative à une personne physique identifiée ou identifiable".

Préserver votre réputation

Vous ne savez jamais comment le fait de négliger la réglementation sur la protection des données peut affecter votre réputation. Il se peut qu'une violation des données entraîne des enquêtes, des amendes et d'éventuelles poursuites judiciaires. En restant en conformité avec les exigences de la RGPD, vous conservez la réputation d'une entreprise professionnelle et digne de confiance. Et garantir un traitement sécurisé des données est un moyen fiable de minimiser le risque d'incidents de sécurité.

Augmenter la fidélité des clients

Les gens veulent savoir que leurs données sont en sécurité et qu'ils en ont le contrôle, d'autant plus que la RGPD a garanti leurs droits. Les clients et les entreprises sont plus susceptibles de choisir un fournisseur de services ou un sous-traitant digne de confiance et conforme à la RGPD qu'un fournisseur ou un sous-traitant non conforme.

Éviter les amendes et les sanctions

L'Article 83 de la RGPD stipule que l'amende maximale en cas de non-respect est de 4 % du chiffre d'affaires annuel global ou de 20 millions d'euros (le montant le plus élevé des deux). Les amendes pour non-respect de la RGPD dépendent de plusieurs facteurs, notamment :

  • la durée et la gravité de la violation
  • le degré de coopération avec l'autorité de contrôle
  • les catégories de données à caractère personnel concernées

Pour garantir le respect de la RGPD, il faut d'abord bien comprendre la réglementation. Avant de passer à la liste de contrôle pour la conformité, examinons donc rapidement les principes clés qui sous-tendent la RGPD.

Principes clés du RGPD

Les exigences de la RGPD sont basées sur les sept principes énoncés dans Chapter 2. Ils reprennent les principales idées du règlement et expliquent les principales raisons de la mise en œuvre de toutes ses exigences.

Le respect de ces principes est essentiel pour une bonne protection des données en général et pour le respect des dispositions détaillées de la RGPD en particulier.

key-principles-of-gdpr

Passons maintenant à une liste de contrôle concise qui propose sept étapes de base pour assurer la conformité aux exigences du RGPD.

Comment se conformer à la RGPD

Vérifier la conformité de votre RGPD

Bien qu'il n'y ait pas d'audit obligatoire pour la conformité à la RGPD, cela ne signifie pas que les entreprises peuvent s'en tirer en cas de non-conformité. En cas de violation des données ou de violation des droits des personnes concernées, les autorités de contrôle et les régulateurs enquêtent sur l'incident et vérifient la conformité de l'entreprise.

Depuis l'entrée en vigueur du RGPD en 2018, les entreprises ont signalé un total de 160 921 violations de données personnelles selon le DLA Piper GDPR Data Breach Survey 2020. Les régulateurs de la protection des données ont imposé 114 millions d'euros d'amendes pour un large éventail d'infractions à la RGPD.

Pour à la fois minimiser le risque de violation des données et éviter les amendes, les entreprises qui sont obligées de se conformer aux exigences de la RGPD devraient prendre cette réglementation au sérieux.

gdpr-compliance-checklist

Comment assurer le respect du RGPD

 

1. Établir une base légale et une méthode transparente pour le traitement des données

La meilleure façon de satisfaire aux exigences de la RGPD en matière de légalité et de transparence est de suivre ces six pratiques :

  • Informer les personnes sur la collecte de données personnelles avant de le faire
  • Fournir des raisons valables pour la collecte et le traitement des données
  • Rassembler uniquement les données dont vous avez besoin aux fins indiquées
  • Préciser la période de stockage des données
  • Obtenir le consentement des personnes concernées pour le traitement des données
  • Informer les personnes concernées chaque fois que vous apportez des modifications à vos processus de collecte de données

Demander le consentement des utilisateurs présente également quelques nuances. Assurez-vous de recevoir le consentement pour le traitement des données par une action volontaire, par exemple en cochant une case.

IIl est également judicieux de fournir des informations sur la collecte, le traitement et le stockage des données de manière claire et concise. Toutes ces informations doivent être facilement accessibles.

2. Revoir vos politiques de protection des données

Une autre chose qui vous aidera à vous conformer à la RGPD est l'élaboration et la mise en œuvre d'une politique de protection des données. Si vous en avez déjà une, assurez-vous de la revoir.

Veiller à ce que cette politique réunisse toutes les autres politiques de sécurité, mette en œuvre le principe du respect de la vie privée dès la conception et définisse par défaut tous les paramètres de confidentialité au niveau le plus élevé.

L'objectif est de vérifier que toutes les données sont collectées, stockées et traitées en toute sécurité et qu'elles ne sont pas accessibles à plus de personnes que nécessaire. Vérifiez également que vos systèmes ne traitent que les catégories de données personnelles nécessaires à vos objectifs spécifiques.

3. Déterminer votre autorité de contrôle

Selon le Chapitre 6, chaque État membre doit fournir une ou plusieurs autorités publiques indépendantes chargées de contrôler le respect de la RGPD.

Découvrez qui sont vos autorités de contrôle pour leur poser des questions relatives au respect des règles. En cas de violation des données, informez-les de l'incident dans les 72 heures suivant sa détection.

4. Сonduire une étude d'impact sur la protection des données

Une autre exigence essentielle de la RGPD est de pouvoir démontrer la conformité et de prouver que toutes les données sont traitées légalement et que toutes les mesures de sécurité possibles sont appliquées.

Par exemple, si votre entreprise compte au moins 250 employés ou effectue un traitement de données à haut risque, il est préférable de tenir à jour une liste détaillée de toutes les activités de traitement de données à caractère personnel.

L'un des moyens les plus simples de démontrer le respect de la RGPD est de mener une analyse d'impact sur la protection des données (DPIA). Une DPIA vous aide:

  • Identifier l'impact possible de vos activités de traitement sur les personnes concernées
  • Évaluer si votre entreprise se conforme à la RGPD
  • Identifier les risques en matière de protection des données
  • Etre en mesure d'atténuer ces risques avant qu'ils ne posent des problèmes de sécurité des données

La maintenance d'une documentation appropriée est également une partie importante de la RGPD, donc envisagez de conserver les registres suivants (si applicable et possible) :

information-to-document-dpia-gdpr

5. Vérifier si les droits à la vie privée des utilisateurs sont en place

Chapitre 3 définit les droits des personnes concernées, auxquels vous devez prêter attention afin de garantir le respect de la RGPD.

Veiller à examiner les droits à la vie privée de vos clients et des utilisateurs du site web pour vérifier qu'ils peuvent facilement faire les choses suivantes :

data-subjects-rights

6. Désigner un délégué à la protection des données

Un délégué à la protection des données (DPD) est un spécialiste interne ou externalisé qui supervise la conformité d'une entreprise à la RGPD et rend compte aux directeurs généraux de tout risque de violation des données.

La RGPD vous oblige à faire appel à un DPD si vous remplissez l'un des trois critères suivants :

  • Votre organisme est un organisme ou une autorité publique, des dérogations étant accordées aux tribunaux et autres autorités judiciaires indépendantes
  • Vous effectuez un suivi régulier et à grande échelle
  • Vous traitez des données dans des catégories spécifiques à grande échelle

Le règlement ne vous oblige pas à engager un DPD à temps plein. Selon l'entreprise, le DPD peut travailler à temps partiel ou à temps plein.

data-protection-officer-tasks

7. Sensibiliser votre personnel au traitement sécurisé des données

Pour minimiser les risques de violation des données et de violation de la RGPD, assurez-vous que tous vos employés sont conscients à la fois des exigences du RGPD et des conséquences possibles d'une non-conformité.

Envisager d'élaborer un programme de formation qui couvre la protection des données en général et les domaines qui concernent votre entreprise en particulier. Désigner des employés responsables des cours et créez un programme de formation.

Pour se conformer à la RGPD, les entreprises doivent consacrer beaucoup de temps et d'efforts au renforcement de leurs mesures de protection des données - sans parler de la révision de l'ensemble de leur flux de travail pour s'assurer que les données personnelles sont collectées, stockées et traitées en toute sécurité et que tous les employés suivent des politiques de sécurité.

Heureusement, certaines tâches visant à assurer le respect du RGPD peuvent être automatisées ou simplifiées grâce à un logiciel de surveillance de l'activité des utilisateurs.

Utilisation du système Ekran pour assurer la conformité avec la RGPD

Ekran System est une plateforme de gestion des menaces internes multifonctions qui permet de dissuader, de détecter et de désamorcer efficacement les menaces internes. Elle offre des fonctionnalités étendues qui vous aident à répondre aux diverses exigences de conformité en matière de cybersécurité, y compris celles établies par la RGPD.

comply-with-gdpr-ekran-system

Article 5, "Principes relatifs au traitement des données à caractère personnel," définit les conditions dans lesquelles les données à caractère personnel doivent être collectées, traitées et stockées. Oblige également les responsables du traitement à pouvoir démontrer le respect de tous les principes.

Ekran System vous aidera à:

Article 24, "Responsabilité du contrôleur," oblige les responsables du traitement des données à mettre en œuvre, examiner et mettre à jour les mesures techniques et entreprisenelles appropriées pour garantir que le traitement des données est effectué conformément à la RGPD.

Vous pouvez utiliser les fonctionnalités d'Ekran System pour:

  • Assurer un traitement sécurisé des données avec la surveillance audio et vidéo et le contrôle des dispositifs USB connectés aux systèmes de l'entreprise
  • Démontrer que les données sont traitées conformément à la RGPD en créant un une procédure d'audit sécurisée de toutes les actions de chaque utilisateur au cours de chaque session surveillée

Article 32, "Sécurité des traitements," exige que les responsables du traitement des données et les sous-traitants veillent à ce que le traitement des données soit effectué conformément à vos instructions.

La fonctionnalité du système Ekran vous permet de le :

  • Identifier la manière dont les utilisateurs traitent les données avec une visibilité complète de toutes les actions des utilisateurs et des enregistrements de session consultables
  • Enregistrer les données de surveillance uniquement lorsque cela est nécessaire
  • Surveiller, contrôler et bloquer les périphériques USB
  • Ne fournir qu'un accès temporaire à des données sensibles aux utilisateurs autorisés et pour une raison valable
  • Fixer des règles prédéfinies et personnalisées pour bloquer des sessions ou envoyer des avertissements aux utilisateurs lorsqu'une activité suspecte est détectée

Article 33, "Notification d'une violation de données à caractère personnel à l'autorité de contrôle," oblige les responsables du traitement des données à notifier à l'autorité de contrôle une violation des données à caractère personnel dans les 72 heures suivant sa détection et à fournir à l'autorité de contrôle les détails de cette violation.

Vous pouvez utiliser les fonctionnalités d'Ekran System pour:

  • Détecter rapidement les incidents potentiels grâce à des alertes en temps réel qui informent les personnels de sécurité des activités suspectes
  • Explorer les enregistrements vidéo  pour savoir ce qui s'est passé avant, pendant et après un incident
  • Documenter les violations de données personnelles et les informations associées et créer des rapports personnalisés en quelques clics
  • Exporter des données dans un format de fichier protégé pour les investigations et les dossier legaux

Article 35, “Évaluation de l'impact sur la protection des données,” explique la nature d'un DPIA et définit comment et quand il doit être effectué.

Vous pouvez simplifier votre analyse d'impact sur la protection des données en utilisant le système Ekran de fonctionnalité complète d'audit et de rapport pour analyser:

  • Quels utilisateurs accèdent à quelles données et à quelle fréquence
  • Comment les utilisateurs interagissent avec les données personnelles
  • Quelles applications et quels sites les utilisateurs visitent
  • Comment l'activité des utilisateurs évolue dans le temps

Article 39, “Tâches du délégué à la protection des données,” détermine les responsabilités d'un DPD, y compris ses responsabilités en matière de contrôle du respect de la RGPD ainsi que de conseil au responsable du traitement des données, au sous-traitant et aux employés.

Votre DPD peut utiliser Ekran System pour:

En plus de vous aider à vous conformer à la RGPD, Ekran System peut vous aider à respecter d'autres exigences en matière de protection des données imposées par NIST 800-53, SWIFT CSP, HIPAA, FISMA, and PCI DSS.

Conclusion

Cette liste de contrôle devrait vous aider à vous mettre en conformité avec la RGPD ou à revoir vos mesures actuelles de protection des données si vous êtes déjà en conformité.

Avec Ekran System, vous pouvez automatiser les processus de surveillance et de reporting et simplifier la conformité avec la RGPD. En outre, la plateforme de gestion des menaces internes d'Ekran System vous aide à améliorer considérablement la sécurité des données et des systèmes, à détecter instantanément les activités suspectes et à traiter les menaces potentielles avant qu'elles ne causent des dommages. Profitez d'un essai gratuit de 30 jours pour voir par vous-même comment fonctionne Ekran System et faire un pas de plus vers la conformité à la RGPD.