Nous contacter
Drapeau de l’UE - Conformité GDPR

Les normes de conformité de l’Union européenne évoluent

Le Règlement sur la protection des données personnelles (GDPR) proposé par la Commission européenne vise à renforcer et à unifier la protection des données personnelles au sein de l’Union européenne tout en répondant à la question de l’exportation des données personnelles à l’extérieur de l’Union européenne.

L’accord de finalisation du GDPR a été annoncé en décembre 2015 et suite au vote du Parlement européen, la date de mise en vigueur du GDPR a été fixée au mois de mai 2018. Les conditions du GDPR ainsi que l’effort de collaboration interne requis pour les établir signifient que les entreprises doivent commencer à se préparer à leur mise en conformité dès maintenant.  

L’objectif principal du GDPR est de remettre le contrôle de leurs données personnelles dans les mains des citoyens.  Dès que le GDPR entrera en vigueur, il uniformisera les précédents règlements en matière de protection des données dans toute l’Union européenne.

Technologies de sécurité pour la conformité au GDPR - Image du livre blanc de DQM GRC

Les experts de la conformité des données abordent les besoins de sécurité découlant du GDPR

Télécharger le livre blanc

Conditions pour la mise en conformité au GDPR

Le règlement de conformité de l’Union européenne aura d'importantes répercussions sur les entreprises du monde entier. 

La disparition de Safe Harbor signifie que les entreprises américaines qui exportent et gèrent les données personnelles des citoyens européens devront également se conformer aux nouvelles exigences établies ou être soumises aux mêmes conséquences.

Si votre entreprise est victime d’une violation de sécurité et selon la gravité de la violation, les conditions suivantes peuvent s’appliquer en vertu de la nouvelle norme de conformité de l’Union européenne :

  • Votre entreprise doit informer les autorités locales de protection des données et éventuellement les propriétaires des données dérobées

  • Votre entreprise pourrait avoir à payer une amende d’un montant pouvant aller jusqu’à 4 % de son chiffre d’affaires ou 20 millions d’euros

Étoiles de l’UEToutefois, le GDPR inclut des exceptions basées sur le type de contrôles de sécurité déployés dans les entreprises.  Par exemple, une entreprise victime d’une violation de sécurité qui a chiffré les données et les a donc rendues illisibles à toute personne non autorisée n’aura pas besoin d’informer les propriétaires de ces données. 

Les risques de se voir infliger une amende sont également moindres si l’entreprise peut prouver qu’une « violation s’est produite sous contrôle ».

Pour satisfaire aux exigences de conformité du GDPR, les entreprises vont probablement devoir utiliser une ou plusieurs méthodes de chiffrement différentes sur leurs environnements d’infrastructure locale et Cloud, notamment les suivantes :

  • Serveurs, notamment à l’aide du chiffrement de fichiers, d’applications, de bases de données et des disques des machines virtuelles.

  • Stockage, notamment à l’aide du chiffrement des serveurs de stockage en réseau (NAS) et des réseaux de stockage (SAN).

  • Multimédia avec le chiffrement des disques.

  • Réseaux, avec, par exemple, le chiffrement des réseaux haut débit.

Par ailleurs, une solide gestion des clés est nécessaire non seulement pour protéger les données chiffrées, mais également pour supprimer les fichiers et respecter les droits de l’utilisateur à l’oubli. 

Les entreprises vont également avoir besoin de vérifier la légitimité des identités des utilisateurs et des transactions et démontrer qu’elles respectent les normes de conformité. Il est important que les contrôles de sécurité en place démontrent leur efficacité et puissent être audités.

Gemalto propose une gamme complète de solutions de protection des données offrant la protection permanente et la gestion des données sensibles en fonction des exigences du GDPR.

Aucune solution unique ne permettra aux entreprises de se mettre en conformité avec le GDPR. La réglementation est trop large dans la mesure où elle couvre tous les aspects possibles, de la gouvernance aux obligations contractuelles. Toutefois, la gamme de solutions SafeNet de Gemalto peut aider les entreprises à se mettre en conformité avec les obligations de sécurité des données de ce règlement.

Le texte est parsemé d’exigences de sécurité. Elles peuvent cependant être regroupées selon les thèmes suivants :

Le GDPR exige des entreprises qu’elles gardent le contrôle de leurs données afin de garantir que seuls les utilisateurs autorisés y ont accès et les traitent, lorsque cela est nécessaire. Les exigences de contrôle sont abordées dans les articles 5, 25 et 32.

D’après le GDPR, les entreprises doivent :

  • traiter les données uniquement à des fins autorisées ;
  • garantir l’exactitude et l’intégrité des données ;
  • minimiser l’exposition de l’identité des sujets ;
  • appliquer des mesures de sécurité des données.

Le chiffrement permet de rendre les données illisibles à moins qu’un utilisateur ou un processus ne présente la clé appropriée. Conformément au GDPR, cette méthode de contrôle simple peut restreindre le traitement des données uniquement à une utilisation autorisée, mais aussi limiter la période durant laquelle les personnes sont identifiables à l’aide de leurs données. Le chiffrement empêche également la manipulation non autorisée des données : le fait de limiter l’accès aux données aux utilisateurs autorisés et de contrôler l’utilisation des clés réduit fortement le risque que des données soient modifiées sans autorisation. Les entreprises qui utilisent correctement le chiffrement et ses contrôles d’accès sont en mesure de démontrer l’intégrité de leurs données.

Dans toutes les situations, l’authentification multifacteur est la première ligne de défense. L’authentification forte contrôle quels utilisateurs ont accès au réseau et les ressources que l’on y trouve. En attribuant des informations d’identification aux personnes, les entreprises peuvent suivre l’accès aux ressources afin de contrôler les risques internes. L’authentification multifacteur complique également l’accès aux ressources sensibles pour les utilisateurs non autorisés. Que ce soit pour les menaces connues ou inconnues, l’authentification multifacteur dresse des obstacles pour accéder aux données, ce qui permet aux entreprises d’en garder plus facilement le contrôle.

 
 

Le GDPR met la sécurité au service de la confidentialité. Les obligations de sécurité sont abordées dans les articles 6, 25, 28 et 32. Afin de préserver la confidentialité des personnes, les entreprises doivent mettre en œuvre :

  • la protection des données dès la conception et par défaut ;
  • la sécurité comme exigence contractuelle avec leurs partenaires et leurs prestataires de services ;
  • le chiffrement des données ou l’anonymisation ;
  • des mesures de sécurité qui répondent à leur évaluation des risques ;
  • des protections, si elles doivent conserver des données pour un traitement supplémentaire.

Le GDPR désigne spécifiquement le chiffrement comme une exigence de sécurité. En outre, les entreprises devront réaliser des évaluations, puis adopter des mesures qui limitent les risques qu’elles auront découverts. Dans la mesure où aucune entreprise ne peut identifier tous les risques qui pèsent sur ses données, et qu’aucune approche de sécurité du périmètre n’est infaillible, les entreprises doivent chiffrer leurs données pour « sécuriser la violation ». Avec le chiffrement, les conséquences d’une violation de données sont moins graves car les données seront protégées quoi qu’il arrive.

L’authentification multifacteur peut contrôler l’accès aux ressources sur le réseau qui sont utilisées pour traiter les données. Afin de protéger les données de traitements non autorisés, les entreprises peuvent attribuer et modifier des paramètres d’authentification pour limiter les traitements ultérieurs une fois la première instance terminée. L’authentification multifacteur peut également réduire les risques identifiés dans l’évaluation des risques réalisée par l’entreprise, ou bien protéger l’accès aux données lorsqu’elles sont partagées avec des partenaires tiers.

 

Même après que les données aient été collectées, les personnes conservent leurs droits et un certain contrôle sur ces données. Le « droit à l’effacement » est abordé dans les articles 17 et 28. Le GDPR exige des entreprises qu’elles effacent entièrement les données de tous leurs référentiels lorsque :

  • une personne concernée révoque son consentement (« Droit à l’oubli ») ;
  • une entreprise partenaire demande que des données soient supprimées ;
  • un service ou un accord prend fin.

Lorsqu’un individu ne consent plus à ce que ses données soient utilisées, une entreprise rappelle les données qu’elle a partagé, ou bien lorsqu’un service prend fin, les entreprises devront entièrement supprimer les données concernées. Il s’agit d’une exigence difficile à satisfaire car le fait de simplement supprimer les données ne suffit pas à les supprimer totalement d’un disque. Pour être entièrement en règle, les entreprises peuvent chiffrer les données, puis supprimer la clé. Cette méthode de suppression des données rend ces dernières entièrement illisibles, et ce, de façon définitive.

 
 

Les entreprises doivent évaluer les risques pour la confidentialité et la sécurité, et démontrer qu’elles prennent les mesures adéquates pour protéger la confidentialité à la lumière des résultats de leur évaluation. Ces obligations sont exposées dans les articles 2, 24 et 28. Pour atténuer les risques et réaliser l’audit préalable, les entreprises doivent :

  • réaliser une évaluation complète des risques ;
  • prendre des mesures pour garantir leur conformité et en donner la preuve ;
  • aider de façon proactive leurs partenaires et leurs clients à se mettre en règle ;
  • démontrer qu’elles ont un contrôle total des données.

Lorsqu’une entreprise signe un contrat avec un partenaire ou pour un service tiers, elle ne renonce pas à sa responsabilité vis-à-vis de la sécurité des données. En effet, le règlement obligera les entreprises à s’aider mutuellement pour assurer la sécurité et atténuer les risques. Le chiffrement lie la sécurité directement aux données, c’est la raison pour laquelle il garantit la sûreté des données et permet à l’entreprise principale d’en garder le contrôle même après qu’elles aient été « perdues de vue » par l’entreprise.

 
 

Lorsqu’une violation de données menace les droits et la confidentialité des données d’une personne concernée, les entreprises doivent en informer les clients et leur autorité de surveillance. Les obligations relatives aux notifications des violations de données sont exposées dans les articles 33 et 34. Conformément au GDPR, les entreprises ont l’obligation :

  • d’informer leur autorité de surveillance dans les 72 heures ;
  • de décrire les conséquences de la violation de données ;
  • d’informer directement les personnes concernées par la violation.

Si une violation expose des données non protégées, les entreprises devront informer l’autorité de surveillance de leur région ainsi que les clients affectés. Cependant, si des données sont chiffrées et si les meilleures pratiques en matière de gestion des clés sont respectées, les entreprises peuvent éviter ces obligations de notification. La notification est exigée uniquement lorsque les droits et les libertés de la personne concernée sont en danger.

 
 

Téléchargez le livre électronique de Gemalto sur le GDPR pour découvrir comment Gemalto peut vous aider à identifier les aspects clés du GDPR et quelles mesures prendre pour satisfaire à ces exigences.

Le règlement général sur la protection des données - Livre électronique complet sur le GDPR - Image

Le règlement général sur la protection des données

Obtenir le livre électronique complet

Are You Ready for GDPR? - Flyer

Télécharger le document

Plus de renseignements sur les règlements de l’UE

Faites vos premiers pas avec le GDPR, la confidentialité et l’application de contrôles de sécurité appropriés - Webinaire

Faites vos premiers pas avec le GDPR, la confidentialité et l’application de contrôles de sécurité appropriés - Webinaire

Joignez-vous à (ISC)² et à Gemalto pour ce webinaire à la demande afin d’apprendre ce que vous devriez savoir sur le nouveau règlement général sur la protection des données : contexte, ce qui change, amendes en cas de non respect, implication en matière de sécurité et bien plus encore.

Voir notre webinaire à la demande
Vignette drapeau UE - Appel à l’action Conformité GDPR

Préparation au GDPR

Depuis les centres de données physiques et virtuels jusqu’au Cloud, Gemalto aide les organisations à se protéger, à rester en conformité et à maintenir le contrôle. Les produits de chiffrement et de gestion des clés cryptographiques de Gemalto permettent aux entreprises de sécuriser les données sensibles dans les bases de données, les applications, les systèmes de stockage, les plates-formes virtuelles et les environnements Cloud.

Contactez-nous pour obtenir plus d’aide sur le GDPR
Back to Top

Demande d'informations

Nous vous remercions de l'intérêt que vous portez à nos produits. Veuillez remplir le formulaire pour recevoir des informations supplémentaires sur SafeNet ou pour être contacté par un spécialiste SafeNet.

Vos informations

* Adresse électronique:  
* Prénom:  
* Nom:  
* Société:  
* Téléphone:  
* Pays:  
* State (US Only):  
* Province (Canada/Australia Only):  
Commentaires:  
 


En complétant ce formulaire, j’accepte de recevoir des informations de Gemalto et ses filiales, comme décrit dans notre Politique de Confidentialité.