Sélectionner une page
GDPR Règlement Général sur la Protection des Données RGPD

GDPR Règlement Général sur la Protection des Données RGPD

POUR VOUS METTRE EN CONFORMITÉ, IL VOUS RESTE ENCORE

Jour(s)

:

Heure(s)

:

Minute(s)

:

Seconde(s)

Qu’est-ce qu’une Donnée à caractère personnel ?
Toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Qu’est-ce que la notion de traitement ?,
Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Qu’est-ce que la notion de violation de données à caractère personnel ?
Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données

GDPR Règlement Général sur la Protection des Données RGPD

Face à l’explosion des risques de cybercriminalité, un lot de dispositions légales obligent les entreprises à sécuriser leur système d’information et leurs données.

Le GDPR ou ‘General Data Protection Regulation’ ou RGPD en français, devient le nouveau standard législatif  européen sur la protection des données à caractère personnel.

Toutes les organisations Européennes ou internationales manipulant des données personnelles relatives à des ressortissants de la communauté Européenne devront le respecter d’ici le 25 mai 2018.

LE GDPR EN UN CLIN D’OEIL

  • Mise en application : 25 mai 2018
  • 200 pages et 99 articles
  • S’applique au traitement des données à caractère personnel par les institutions, organes et organismes de l’Union Européenne*
  • Le responsable du traitement et le sous-traitant doivent désigner un délégué à la protection des données, le DPO.
  • En cas de violation de données à caractère personnel, le responsable du traitement en notifie l’autorité de contrôle au plus tard 72 heures après
  • Les violations font l’objet d’amendes administratives pouvant s’élever jusqu’à 20 000 000 € ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

BRAINWAVE OU L’APPROCHE DU GDPR PAR LES RISQUES - DÉCOUVREZ COMMENT ÊTRE CONFORME EN 7 ETAPES

LE CYCLE DE MATURITÉ DU GDPR – RGPD : AUDIT – PREVENTION – DETECTION

LES ÉTAPES MÉTIER ET ORGANISATIONNELLES

1 - Comprendre les enjeux de la réglementation

la GDPR est l’évolution la plus importante en matière de sécurité et de protection des données. Destiné initialement à renforcer la sécurité des données à caractère personnel face à la transformation digitale des entreprises et du monde actuel. Même si ce règlement ne sera applicable que le 25 mai 2018, il est capital de prendre des mesures et de dessiner la feuille de route de l’entreprise en vue de sa mise en conformité.

Le GDPR c’est déjà demain …

  1. La première étape est essentiellement une implication du juridique avec un support du COMEX

Il est nécessaire de comprendre les dispositions de la nouvelle législation afin de déterminer comment le règlement s’applique au cas spécifique de l’entreprise. 

  • Identifier les dispositions de la GDPR et les ramener à la situation de l’entreprise et de son rôle
  • Sensibiliser le COMEX aux enjeux du règlement et mettre en évidence les sanctions vis à vis d’un défaut de conformité ou d’un incident
  • Comprendre et partager la terminologie :
    • Dispositions générales
    • Principes
    • Droits de la personne concernée
    • Transparence et modalités
    • Information et accès aux données à caractère personnel
    • Rectification et effacement
    • Droit d’opposition et prise de décision individuelle automatisée
    • Limitations
    • Responsable du traitement et sous-traitant
    • Obligations générales
    • Sécurité des données à.caractère personnel
    • Analyse d’impact relative à la protection des donnés et consultation préalable
    • Délégué à la protection des données
    • Codes de conduite et certification
    • Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales
    • Autorités de contrôle indépendantes
    •  Coopération et cohérence
    • Voies de recours, responsabilité et sanctions
    • Dispositions relatives à des situations particulières de traitement
    • Actes délégués et actes d’exécution
    • Dispositions finales

 

Voir le texte de l’EU-GDPR

2 -Déterminer comment le règlement GDPR s’applique au cas général et particulier de l’entreprise.

Pour identifier les dispositions du GDPR qui s’appliquent à l’entreprise ou à l’organisation, il est important de bien comprendre les terminologies employées et les incidences organisationnelles et juridiques.

Que vous soyez  »responsable de traitement » ou sous-traitant, quelque soit votre position dans la chaîne, vous êtes sujet à la définition ou le respect d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect aux exigences prévues.

« Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre »

Le chainage des responsabilités dans le cadre de l’application du DGPR incite, que dis-je oblige, l’organisation à procéder à une campagne de sensibilisation à tous les niveaux hiérarchiques, d’ou la nécessité d’impliquer le COMEX.

3 - Localiser les informations à caractère personnel dans l’entreprise

Pour satisfaire aux exigences du GDPR, il est crucial de savoir où se situent les données à caractère personnel dans l’entreprise.

Au demeurant aucune entreprise à ce jour n’est capable de la savoir ! Cela pré-suppose une analyse minutieuse du système d’information dans sa globalité. Il s’git d’une tâche ‘monstrueuse’ qui si elle n’est pas outillée risque de ne jamais aboutir sur des résultat tangibles.

Le GDPR oblige aussi, une fois les données localisées, à savoir qui y a accès et pour quoi y faire (article 32). Hors dans n’importe quelle organisation aujourd’hui il est impossible de savoir avec exactitude et encore moins de garantir qui a accès aux applications et aux données en toute légitimité. Là aussi une solution telle que Brainwave Identity GRC permet de relever ce défi.

Avec la généralisation d’applications sur le Cloud, la Transformation Digitale marque une escalade dans la complexité dans l’approche du GDPR. Il y 3 points en particulier à examiner de près :

  1. Quelles applications et données sont sur le Cloud ?
  2. Le Shadow IT a sensiblement obscurci la visibilité de la DSI sur ce point, est-ce que les métiers sont prêts à jouer le jeu pour rétablir cette visibilité globale.
  3. Quelle est la nature des contrats avec vos prestataires Cloud, sont ils alignés avec vos impératifs GDPR ?

 

4 - Sensibiliser 100% des collaborateurs concernés, mais pas seulement

La mise en conformité vis à vis du DGPR passe obligatoirement par une sensibilisation de tous les acteurs de l’entreprise étendue. De ce fait des programmes de formation et sensibilisations sont à aménager dans les premiers instants de la démarche. Ceux-ci permettront aussi de préparer les groupes de travail multidisciplinaires que le DPO ou la personne en charge devra mettre en place.

Il est crucial que toutes les parties prenantes de l’entreprise ainsi que les sous-traitants soient informés de leurs obligations : salariés, prestataires, fournisseurs et toute personne amenée à stocker ou à utiliser des données à caractère personnel doivent se conformer aux mêmes règles.

 

L’entreprise ou l’organisation, mais pas que …

L’application du DGPR aura une influence importante sur les relations entre responsables de traitement et sous-traitants. Jusque-là, seul le responsable de traitement répondait auprès de l’autorité de contrôle de protection des données personnelles des manquements à la réglementation. Le sous-traitant était, de ce point de vue, à l’abri des sanctions infligées par le régulateur.

Le Règlement tend à rééquilibrer la relation entre les deux opérateurs en mettant des obligations directement à la charge des sous-traitants et en renforçant les obligations contractuelles du sous- traitant. Le Règlement prévoit également que les manquements d’un sous-traitant puissent être sanctionnés par les autorités de contrôle.

5 - Formalisation de groupes de travail multi disciplines

Si le DPO apparait comme un pivot dans l’organisation et la mise en conformité face au DGPR, son rôle doit s’inscrire dans une notion d’équipe. Les difficultés sont telles que toute seule une personne aussi influente soit elle ne pourra atteindre sont but.

 

6 - Protection des données dès la conception ''By Design & by Default''

L’ article 25 introduit le concept de  »protection by design and by default ».

Cette notion, au-delà d’être interprétée comme une infraction peut être sanctionnée d’une amende d’un montant de 10 millions d’€ maximum ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent maximum, oblige l’organisation à faire en sorte que toute nouvelle application liée à des données à caractère personnel soit conçue dés le cahier des charges…

En effet le  »data protection by design » oblige le responsable du traitement à prendre des mesures et procédures techniques et organisationnelles appropriées – tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même- afin de le rendre conforme au Règlement, compte tenu des risques du traitement.

Le second paragraphe de l’article 25 aborde le principe de  »data protection by default ». Il oblige le responsable à adopter des mesures consistant à limiter par défaut le traitement de données à caractère personnel à ce qui est strictement nécessaire, en ce qui concerne la quantité de données traitées, leur accessibilité et à leur période de conservation.

Ainsi, lorsque le traitement n’a pas pour finalité de fournir des informations au public, le principe de protection par défaut impose d’adopter des mécanismes garantissant que par défaut, les données sont rendues inaccessibles à un nombre indéterminé de personnes physiques, sans intervention de la personne concernée. Il s’agit en réalité d’une application stricte du principe de nécessité déjà contenu dans le principe de finalité lui-même.

Enfin, l’article 25, en son 3e paragraphe, prévoit in fine que le responsable de traitement peut avoir recours à un mécanisme de certification approuvé conformément à l’article 42 afin de démontrer le respect des obligations susmentionnées.

Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

  1. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.

Un mécanisme de certification approuvé en vertu de l’article 42 peut servir d’élément pour démontrer le respect des exigences énoncées plus haut.

 LES ÉTAPES TECHNIQUES ET IT

1 - Traduire les enjeux de la réglementation en feuille de route pour la DSI

Le GDPR ou RGPD est l’évolution législative la plus importante en matière de sécurité et de protection des données depuis le début de l’ère numérique. Destiné initialement à renforcer la sécurité des données à caractère personnel face à la transformation digitale des entreprises et du monde actuel. Même si ce règlement ne sera applicable que le 25 mai 2018, il est capital de prendre des mesures et de dessiner la feuille de route de l’entreprise en vue de sa mise en conformité.

Le GDPR ou RGPD c’est déjà demain …

  1. La première étape est essentiellement une implication du juridique avec un support du COMEX

Il est nécessaire de comprendre les dispositions de la nouvelle législation afin de déterminer comment le règlement s’applique au cas spécifique de l’entreprise. 

  • Identifier les dispositions de la GDPR et les ramener à la situation de l’entreprise et de son rôle
  • Sensibiliser le COMEX aux enjeux du règlement et mettre en évidence les sanctions vis à vis d’un défaut de conformité ou d’un incident
  • Comprendre et partager la terminologie et se faire aider par le service juridique (entre autre)

 

2 - Ou sont les données à caractère personnel dans l’entreprise ?

Savoir où se situent les données à caractère personnel  dans l’entreprise est une donnée aussi essentielle qu’ indispensable pour satisfaire aux exigences du GDPR ou RGPD.

Cependant cela suppose une sensibilisation préalable des responsables métier par le COMEX en collaboration avec le DPO (Data Protection Officer) ou CIL et le RSSI, car ces données sont réparties au sein de tous les systèmes d’informations métier :

  • Ventes et Distribution
  • Marketing
  • Service après-vente
  • Juridique
  • Achats
  • Ressources Humaines
  • Finances
  • Etc

La première phase consiste à impliquer au plus haut niveau les responsables métier afin de savoir si ils gèrent des données à caractère personnel, dans quel but et par le biais de quels référentiels, applications, systèmes documentaires et d’archivage.

Il s’agit d’une étape préliminaire qui va permettre de situer à un niveau global les métiers et les sources, afin de mener l’étape suivante consistant à découvrir et identifier ces données.

C’est une tâche qui peut paraitre surhumaine, mais qui dans le contexte de l’utilisation de Brainwave IdentityGRC, s’avère entièrement automatisable, ordonnée , précise et rapide. L’aspect rapidité est dans cette situation est primordiale. Sans un outillage tel que Brainwave et ces capacités de  »Discovery » le DPO se retrouve confronté à une montagne.

De plus le workflow de Brainwave Identity GRC va permettre de structurer cette approche collaborative et alimenter le plan projet GDPR de l’entreprise.

La caractéristique unique de Brainwave Identity GRC à pouvoir corréler des informations issues du système d’information RH, les utilisateurs du SI, avec la totalité du paysage applications et données de l’entreprise permettant de consolider les informations relatives aux personnes et aux droits d’accès et ensuite de déterminer le degré de sensibilité des données.

3 - Réaliser une Analyse d'impact relative à la protection des données

Comme le stipule l’article 35 du GDPR, l’entreprise doit procéder à une Analyse d’impact relative à la protection des données.

Une fois les résultats consolidés, il devient possible de procéder à cette analyse d’impact grâce à la cartographie des données en identifiant aux préalable les endroits les plus critiques ainsi que les  »business owners’ des données à caractère personnel.

Il est à noter que ces données vont permettre au DPO ou aux personnes en charge du projet DGPR de mettre en place les groupes de travail intégrant les métiers et la DSI autour d’un référentiel unique.

Le référentiel de conformité unique établit par Brainwave Identity GRC va permettre aux instances en charge du projet de structurer les étapes. suivantes …

4 - ETABLIR LA CARTOGRAPHIE DES RISQUES - APPLICATIONS ET DONNÉES

Afin d’enrichir l’Analyse d’impact relative à la protection des données, il est déterminant de procéder à une classification des données à caractère personnel  La classification des données permet d’identifier les données qui doivent faire l’objet de protection et permet d’évaluer la sensibilité des applications et référentiels.

L’OBJECTIF EST DE PROPOSER UN RÉFÉRENTIEL UNIQUE À L’ENTREPRISE POUR UNE VISUALISATION PRÉCISE DES ZONES À RISQUES PERMETTANT DE SE FOCALISER SUR LES ZONES CRITIQUES.

Dans le cas des données non structurées, ce niveau de sensibilité est agrégé par le biais de méta-données à chaque répertoire et fichier, et est instantanément hérité par le répertoire contenant ces données.

Ceci permet d’établir le référentiel unique à l’entreprise, servant de point de repère à la fois au DPO, aux utilisateurs, aux propriétaires des données et à la DSI. La sensibilisation des managers et employés devient alors actionable.

COMMENT IDENTIFIER LES PROPRIÉTAIRES MÉTIERS DES DONNÉES ?

L’identification des propriétaires des données est réalisée par Brainwave Identity GRC grâce à ses algorithmes statistiques basés sur l’analyse des données et des accès en corrélation avec les informations du SIRH, pour découvrir qui sont les propriétaires métier des répertoires et des fichiers. Une validation peut aussi être lancée par l’intermédiaire du workflow intégré. Les changements de propriétaire sont aussi gérés tout au long du cycle de vie de l’information.

5 - Rendre le SI actuel et futur ''Data Protection by Design & by Default''

Si les concepts d’anonymisation et de pseudonymisation sont du ressort des applications elles-même ou de leurs composants technologiques (comme les bases de données),  Brainwave permet de cartographier précisément la totalité des accès aux ressources et actifs de l’entreprise. Sans cette cartographie, l’entreprise s’expose à des défauts de conformité GDPR et donc à des risques de fraudes et de pertes ou vols de données.

La solution permet de catalyser les collaborateurs autour du DPO et du RSSI pour, entre autres, mener les opérations d’audit et de revue permettant de garantir que l’accès aux applications et données (structurés ou non structurées) se fait en toute légitimité et en accord avec l’article 25 du règlement. En orchestrant le processus, le DPO et le RSSI donne les moyens aux dirigeants, aux managers opérationnels, aux collaborateurs et correspondants sécurité de répondre aux questions en se basant sur les audits et rapports que la solution leur fournit.

Brainwave instrumente, facilite et automatise le processus de cartographie de la GDPR et en supprime les obstacles à la fois techniques et organisationnels ainsi que les contraintes que toutes les entreprises rencontrent à l’heure actuelle. Qu’il s’agisse d’une investigation ponctuelle (forensic) ou d’un audit récurrent, la solution donne la possibilité de naviguer à la fois dans les données et dans le temps de façon simple et conviviale afin de mettre en évidence toute anomalie par rapport au règlement ou toute activité suspecte.

6 - Comment tenir un registre des activités de traitement

Conformément aux articles 30 et 33 du GDPR insistent sur la capacité de l’entreprise ou de l’organisation de tenir un registre des activités de traitement effectuées sous leur responsabilité. Cela revient à surveiller en permanence l’activité sur les données à caractère personnel et de savoir quel usage il en a été fait. La finalité est à raccordé à l’obligation qui est stipulé pour notifier l’autorité de contrôle dans les 72 heures maximum après avoir constaté un incident.

Brainwave Identity GRC dispose des moyens pour réaliser ce ‘monitoring’ sur 3 niveaux :

  1. Analyse des droits d’accès aux applications et aux données
  2. Analyse de l’activité sur ces applications et données (qui, quand, quoi)
  3. Analyse poussée en cas d’incident pour tracer précisément les actions de ou des utilisateurs (ceci vaut aussi dans le cas d’une intrusion ou d’une compromission par usurpation d’identité)

7 - Moyens de coopération avec l'autorité de contrôle

Conformément à l’article 31 du GDPR relatif à la coopération avec l’autorité de contrôle, il est essentiel de vous garantir une traçabilités de l’activité relative à vos données à caractère personnel. Il en est de même en cas d’incident, où il sera nécessaire de pouvoir auditer les faits et communiquer ces preuves et indices aux autorités de contrôle

Brainwave Identity GRC dispose des moyens pour réaliser ces analyses préventives et post-incident :

La solution vous propose de découvrir facilement et de façon collaborative toutes vos applications et données sensibles (données à caractère personnel) , vous donne les moyens de restreindre les accès à une notion de  »privilège légitime » pour chaque utilisateur afin de réduire l’exposition aux risques sur vos données (où quelles se trouvent : votre Data Center ou chez un ).

Elle fournit l’information sur l’utilisation, le contexte quand il s’agit de données non-structurées stockées sur des serveurs de fichiers ou de référentiels partagés comme le sont Active Directory, Sharepoint ou votre  »Data Lake’ pour vos données de type  »Big Data ».

Elle a la capacité de donner l’alerte en cas d’accès illégitimes ou en infraction de SOD

Elle renforce les dispositifs de protection par l’analyse comportementale de l’activité des utilisateurs – Brainwave UBA

  • A la fois en mode préventif que pour l’analyse et audit des incidents (Forensic)

Elle vous aide à établir une réponse appropriée aux incidents et vous offre des possibilités d’investigation adaptée au contexte du DGPR

De plus elle peut vous aider à gérer les aspects contractuels avec vos fournisseurs (sous-traitants conformément à Article 27 EU RGPD  « Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l’Union ») quand ils s’agit de prestataires Cloud qui ne sont pas dans l’Union Européenne.

 

BRAINWAVE OU L’APPROCHE DU GDPR PAR LES RISQUES COMMENT APPROFONDIR LES BÉNÉFICES DE BRAINWAVE POUR VOTRE CONFORMITÉ

COMMENT APPROFONDIR LES BÉNÉFICES DE BRAINWAVE POUR VOTRE CONFORMITÉ ?
 Que pouvez vous attendre de Brainwave par rapport à votre mise en conformité GDPR

Au-delà de l’aspect solution technologique, Brainwave est capable de vous accompagner dès la phase d’étude de votre projet de conformité GDPR. Nous tenons à votre disposition des documents et livres blancs qui permettront de vous guider à travers les prochaines étapes de votre réflexion et de mise en action.

Nous souhaitons aussi vous faire bénéficier du partenariat que nous avons élaboré avec un cabinet d’avocats spécialisé dans le droit  relatif aux technologies du numérique et à la sécurité des systèmes d’information. Nous considérons à juste titre que le sujet de la conformité au sens général et du GDPR en particulier ne peut se concevoir sans un support juridique. Ce renfort essentiel à une bonne maîtrise du GDPR vous est proposé à travers : la sensibilisation, le conseil, l’accompagnement et l’assistance.

Brainwave met à votre disposition :

  • Des événements thématiques réguliers (physiques ou webinaires)
  • Des sessions de webcast pour vous présenter la stratégie et les solutions de Brainwave en matière de DGPR sans que vous ayez à vous déplacer
  • Des rendez vous téléphoniques ou présentiels dans vos locaux ou chez Brainwave pour vous familiariser avec notre approche et comprendre comment nous pouvons faciliter votre parcours et la réussite de votre projet

Vous souhaitez approfondir le sujet GDPR avec nous ?

* Champ requis





GDPR : Vous souhaitez approfondir le sujet


Share This