Quels sont les enjeux de la Protection des Données - Et comment ESET peut vous aider

TÉLÉCHARGER NOTRE GUIDE
Qu’est-ce que le RGPD ?

Êtes-vous prêt pour le RGPD ?

En Mai 2018, la nouvelle réglementation Européenne sur la protection des données va entrer en vigueur.

Si cette réglementation vous concerne, vous devez dès à présent envisager votre mise en conformité. Ce site est conçu pour vous aider à bien comprendre le Règlement Général sur la Protection des Données (RGPD), les exigences qui en découlent et les solutions qui s’offrent à vous. Le RGPD affectera toutes les organisations européennes qui traitent des données personnelles quelles qu’elles soient. Cela concernera également toute entreprise ayant des rapports commerciaux avec l’Union Européenne. La règlementation est complexe et les amendes en cas de non-conformité sont importantes (jusqu’à 20 millions d’euros/4% du CA annuel).

Dans tous les cas, vous êtes au bon endroit pour en apprendre plus !

calendar due date GDPR

Obtenez votre guide gratuit

ESET et ses conseillers juridiques ont rédigé ce guide avec une grande attention afin d’examiner en profondeur le nouveau réglement de l’UE et en quoi il peut impacter votre entreprise.

guide general data protection regulation

Online compliance check

This site is designed to help you understand the GDPR, quantify the requirements, and offer solutions.

S’adapter au RGPD pas à pas

Les implications du RGPD sont complexes. Nous avons donc décidé de diviser le processus de mise aux normes en trois groupes de mesures. Nous avons ensuite subdivisé ces groupes en plusieurs sous-catégories plus détaillées. Vous n’avez qu’à cliquer sur les barres du diagramme ci-dessous pour accéder au sujet qui vous intéresse.

+Sommaire

Bon nombre des principes mis en avant dans le RGPD sont dans la continuité de ceux déjà présents dans la Directive 95/46/CE : équité, légitimité, transparence, finalité restreinte, minimisation des données, qualité des données, sécurité, intégrité et confidentialité.

Le RGPD introduit un nouveau principe de responsabilité en mettant les responsables du traitement en charge de la conformité et des principes de la loi. Le RGPD introduit également des nouveaux fondements à ceux déjà existants :

Légitimité, équité et transparence – Les données personnelles doivent maintenant être traitées de manière transparente et en relation avec la personne concernée.

Finalité restreinte – Avec quelques réserves, l’archivage de données à caractère personnel dans l’intérêt public pourra être compatible avec le traitement des données.

Stockage – Les données à caractère personnel doivent être conservées sous une forme permettant d’identifier les personnes concernées pour une durée qui ne dépasse pas celle nécessaire aux fins pour lesquelles les données à caractère personnel sont traitées.

Responsabilité – Le responsable du traitement devient responsable de la conformité et doit être capable de pouvoir assurer et démontrer cette dernière.

+Structure organisationnelle requise

Le RGPD impose l’implémentation de nombreuses mesures afin de réduire les risques de violation et de vous permettre de prouver que vous prenez la gouvernance des données au sérieux. Parmi les mesures nécessaires en termes de responsabilité se trouvent : l’évaluation de l’impact sur la vie privée (EIVP), les audits, les examens de politiques, les rapports d’activité et (éventuellement) la désignation d’un délégué à la protection des données (DPD).

Le RGPD rend obligatoire la désignation d’un DPD pour certaines organisations. Les organisations doivent désigner un membre du personnel ou un consultant extérieur qui endossera le rôle de DPD.

Si vous êtes un distributeur ayant une base de données clients importante, vous aurez très probablement besoin de nommer un DPD. Les instances nationales de protection des données devront vous fournir de l’aide sur la manière de choisir le DPD.

Votre DPD sera responsable de la surveillance et de la conformité avec le RGPD, il devra également fournir des conseils sur les diverses obligations, sur la manière de mener les évaluations d’impact sur la vie privée et être le point de contact privilégié des individus et des autorités nationales de protection des données.

Le concept de guichet unique permet aux entreprises présentes dans différents pays européens de ne traiter qu’avec une instance nationale de protection des données . Cependant, les règles qui déterminent quelle instance doit endosser ce rôle peuvent être complexes dans certains cas.

+Processus, procédures et autorisations

Le RGPD redéfinit la fuite des données comme étant “une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises,
conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données”.

Cette large définition ne prend pas en considération les éventuels dommages subis par les individus. Si vous êtes victime d’une violation de sécurité, vous devrez en informer immédiatement l’autorité de contrôle (ou dans un délai inférieur à 72 heures).

Cependant, vous êtes dispensé d’en informer les personnes concernées dans le cas où les mesures techniques et organisationnelles adéquates, comme le chiffrement, ont été prises pour protéger les données à caractère personnel.

Une part importante de la mise en conformité avec le RGPD est la “privacy by design” qui correspond au fait d’ intégrer la protection des données aux nouveaux processus ou produits et ce, dès leur conception. Avec le RGPD, cette approche devient explicitement obligatoire.

Une évaluation d’impact sur la vie privée (EIVP) a pour but d’identifier les risques de non-conformité et de les corriger.

Le RGPD rend l’EIVP obligatoire. Les responsables du traitement doivent s’assurer qu’un EIVP a été mené avant d’entreprendre toute activité de traitement qui présente des “risques importants”.

Si votre activité a une portée internationale, les règles et les processus concernant les transferts de données personnelles vers des organisations externes à l’UE seront à étudier avec beaucoup d’attention. Les sanctions en cas de non conformité lors des transferts sont beaucoup plus importantes dans le cadre du RGPD.

+Prendre conscience de la sécurité des données

Il est temps de présenter le RGPD et ses obligations à vos employés. Vous devriez déjà commencer à planifier la réévaluation et la modification de vos procédures internes de manière à vous conformer au RGPD et à ses principes. Ces dispositions peuvent avoir des répercussions importantes sur le plan technique, financier ou sur celui de la formation.

+Résponsabilités - Mesures techniques

Les  responsables du traitement doivent prendre en charge la démonstration de la conformité en adéquation avec le RGPD. Il faut donc vous assurer que vous avez des politiques clairement établies. Ceci vous permet de prouver votre conformité avec les standards. Les contrôles réguliers, l’évaluation des processus de traitement, l’implémentation de mesures de protection, et la formation de votre personnel sont autant de mesures vous permettant d’y parvenir. Soyez également prêt à démontrer votre conformité à n’importe quel moment, dès que votre autorité de contrôle le demande.

+Violation des données - Mesures techniques

Vous devez vous préparer aux violations de données (celle pouvant entraîner “de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données”) en établissant des règles et en testant les procédures en place afin d’être prêt à réagir rapidement et à informer l’autorité concernée.

Une violation de données peut entraîner une amende. De même, vous êtes passible d’une amende si vous manquez d’informer votre autorité de référence en cas d’une violation de données.

+Assurer les droits des personnes concernées - Mesures techniques

Le RGPD renforce les droits des personnes concernées . Par exemple, celles-ci ont maintenant le droit d’être informées sur la nature des données traitées, d’accéder à leurs données dans certaines circonstances ainsi que de corriger les données qui seraient fausses.

L’un des principaux buts du RGPD est de renforcer les droits des individus. Les règles concernant l’accessibilité des données aux personnes concernées vont donc évoluer. Vous êtes tenu de mettre à jour vos processus internes afin de vous conformer à ces changements.

Dans la plupart des cas, il ne vous sera pas possible de facturer une demande d’accès. Vous n’aurez également qu’un mois pour y répondre.

Le droit à l’oubli (le terme ‘effacement’ est utilisé dans le texte de loi) permet aux individus de demander aux responsables du traitement de détruire leurs données personnelles et dans certaines situations, sans aucun délai. Par exemple, lorsqu’un problème de légitimité sous-jacente est suspecté ou lorsque les personnes concernées retirent leur consentement.

Les tiers avec lesquels les données personnelles sont partagées sont également soumis à ces règles.

Le RGPD définit le profilage comme “toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique”. Cependant, il existe des ambiguïtés concernant la manière dont le droit des personnes concernées sera appliqué face au profilage.

Le RGPD introduit un nouveau droit à la portabilité des données. Vous êtes dorénavant dans l’obligation de fournir les données personnelles aux personnes concernées qui le demandent et ce, dans un format répandu et lisible.

Il y a des limites à cette règle. Elle n’est applicable qu’aux données à caractère personnel traitées automatiquement, par exemple.

La Commission Européenne accorde aux individus le droit de restreindre certains traitements de données et le droit de contester le traitement de données à caractère personnel à des fins marketing, comme le profilage utilisé dans une démarche de marketing direct.

Une fois la contestation émise, les données ne doivent plus être traitées à des fins marketing et les coordonnées de la personne concernées doivent être incluses dans un fichier de suppression en interne.

Les organisations doivent informer explicitement les individus sur leur droit de contester le traitement de leurs données.

+Traitement des informations personnelles (consentement et notifications préalables)

Vous devrez peut-être revoir la manière dont vous cherchez, obtenez et enregistrez le consentement des personnes concernées. Le consentement d’un individu pour le traitement de ses informations personnelles doit être facilement annulable et ne peut pas être donné tacitement, via des boîtes pré-cochées ou résulter de l’inactivité prétendue de l’individu.

La Commission Européenne accorde aux individus le droit de restreindre certains traitements de données et le droit de contester le traitement de données à caractère personnel à des fins marketing, comme le profilage utilisé dans une démarche de marketing direct

Une fois la contestation émise, les données ne doivent plus être traitées à des fins marketing et les coordonnées de la personne concernées doivent être incluses dans un fichier de suppression en interne. Les organisations doivent informer explicitement les individus sur leur droit de contester le traitement des données.

Le RGPD va très probablement vous amener à devoir échanger davantage avec personnes concernées . Vous allez, par exemple, devoir communiquer votre base juridique, vos périodes de rétention de données et leur droit de réclamation envers l’autorité nationale de protection. Le RGPD exige d’ailleurs que ce type d’information soit transmis de manière claire et concise.

+Sécurité des données (intégrité et confidentialité)

Les principes du RGPD sont dans la continuité de ceux déjà présents dans la Directive 95/46/CE : équité, légitimité, transparence, finalité restreinte, minimisation des données, qualité des données, sécurité, intégrité et confidentialité.

Vous devez vous assurer que les données à caractère personnel sont traitées de manière à garantir leur sécurité. Cela inclut la protection contre le traitement non-autorisé ou illégal, contre les pertes accidentelles ou les dégâts: “Toute organisation ou sous-traitant doit implémenter des mesures techniques et organisationnelles appropriées afin d’assurer un niveau de protection en adéquation avec le risque encouru”.

La régulation suggère plusieurs mesures de sécurité qui peuvent être utilisées afin de protéger les données. Celles-ci incluent : la pseudonymisation et le chiffrement des données à caractère personnel ; la capacité à assurer la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services traitant des données à caractère personnel ; la capacité à rétablir la disponibilité et l’accès aux données personnelles dans un délai court en cas d’incident technique ou physique ; et le fait de conduire des évaluations et des tests réguliers visant à mesurer l’efficacité des mesures techniques et organisationnelles.

Le RGPD présente le chiffrement comme un moyen de se conformer aux différentes obligations. La régulation stipule ainsi :

Article 32 – Sécurité du traitement

“1.   Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant responsable du traitement mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins: (a) la pseudonymisation et le chiffrement des données à caractère personnel […]”

Article 34 – Communication à la personne concernée d’une violation de données à caractère personnel

“3. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie : (a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement […]”

+Audits, base légale et documentation relative aux données

Vous devez documenter quelle est la nature des données personnelles que vous détenez, leur provenance et les tiers avec lesquels vous les partagez.

Si vous détenez des données personnelles imprécises et que vous les partagez avec une organisation tierce, vous avez l’obligation d’informer ce tiers de leur inexactitude afin que ce dernier puisse corriger les informations qu’ils détient. Pour ce faire, vous serez susceptible de mener un audit sur les informations de votre entreprise ou sur certaines procédures commerciales. Ceci vous aidera également à vous conformer au principe de responsabilité du RGPD.

Dans le cadre du RGPD, vous devez examiner comment vous traitez les données personnelles et identifier la base juridique sur laquelle vous effectuez le traitement, vous devez également documenter ces processus.

Ceci est nécessaire car les droits de certains individus peuvent être modifiés par le RGPD en fonction de la base juridique utilisée. Par exemple, si vous utilisez le consentement comme base juridique, les individus auront plus de droits vis-à-vis de la suppression de leurs données. Cependant, le consentement n’est qu’une des nombreuses manière de légitimer le traitement et n’est pas forcément la meilleure puisqu’il peut être révoqué.

Les informations présentées sur cette page Web ne constituent pas un avis juridique et les utilisateurs ne devraient pas se fier à leur exactitude lors de la prise de décisions financières ou commerciales. ESET se dégage de toutes responsabilités des résultats de telles actions. Nous conseillons de toujours faire appel à un conseiller juridique indépendant.

Participez à nos Webcasts sur le RGPD

Échangez avec nos experts sur la manière dont le nouveau Règlement Général sur la Protection des Données affectera votre entreprise. ESET propose des webcasts expliquant les enjeux du RGPD. Ces Webcasts sont gratuits : il vous suffit de vous inscrire ci-dessous et nous vous inviterons à participer au prochain évènement.

Le chiffrement comme solution

Qu’est-ce que le chiffrement ?

Le chiffrement est un processus d’encodage d’informations permettant de prevenir la lecture non-autorisée de celles-ci.

Longueur de clé et qualité de chiffrement

La qualité du chiffrement est liée à la longueur de la clé (en bits) et à l’algorithme de chiffrement utilisé. La manière la plus simple de déchiffrer des données est d’essayer toutes les clés possible. Cette approche, appelée “attaque par force brute”, est répandue mais des clés de chiffrement plus longues la rendent inefficace.

Pour forcer une clé AES de 128 bits, les 7 milliards d’habitant sur Terre devraient essayer 1 milliard de clés par seconde pendant environ 1,5 trillion d’années..

C’est pourquoi les hackers ne tentent généralement pas de faire de la rétro-ingénierie d’algorithme ou de forcer “brutalement” la clé. Au lieu de cela, ils recherchent les vulnérabilités des logiciels de chiffrement ou tentent d’infecter le système avec un logiciel malveillant afin d’obtenir les mots de passe ou la clé.

Pour minimiser ces risques, vous devez donc utiliser un produit de chiffrement validé de manière indépendante et utiliser une solution anti-malware avancée et à jour.

Principes de fonctionnement

Le chiffrement s’effectue, le plus souvent, de deux manières différentes :

Le chiffrement en conteneur – souvent dénommé ‘data at rest’ – est communément utilisé pour chiffrer un lecteur ou un périphérique entier.

Ce type de chiffrement ne prend alors effet qu’une fois le système arrêté, le lecteur éjecté ou la clé de chiffrement bloquée.

Contenu chiffré aussi dénommé chiffrement granulaire – correspond au chiffrement des fichiers ou du texte au niveau des l’applications.

L’exemple le plus courant est le chiffrement du courrier électronique, où le format du message doit rester intact pour que le client de messagerie puisse le gérer, mais le corps du texte de l’e-mail est chiffré ainsi que toutes les pièces jointes.

eset data encryption example

Quels avantages puis-je tirer du chiffrement ?

Bien que la longueur de la clé et les fonctionnalités du logiciel soient importantes, elles ne vous indiquent pas à quel point un produit fonctionnera du point de vue de l’utilisateur – ou de celui de l’administrateur.

Validation FIPS – 140

La norme indépendante la plus largement validée est FIPS-140. Si un produit est validé avec FIPS-140, il offre déjà plus de sécurité que dans la plupart des cas et entre en adéquation avec le RGPD et d’autres règlements.

Facilité d’utilisation même pour les néophytes

Il y aura toujours des situations où vos employés devront décider de chiffrer ou non un document, un courrier électronique, etc. Il est vital qu’ils puissent utiliser le logiciel fourni tout en étant certain que le chiffrement des données n’entrave pas leur travail et empêche l’accès aux utilisateurs extérieurs.

Gestion à distance des clés, paramètres et politiques de sécurité

Pour éviter que le personnel n’ait à prendre des décisions liées à la sécurité, le chiffrement peut être imposé au sein de toute l’entreprise. Cependant, cela tend à restreindre les processus commerciaux légitimes et à étouffer la productivité.
L’inclusion d’une capacité de gestion à distance incluant la modification des clés de chiffrement, la modification des fonctionnalités ou de sécurité pour les utilisateurs distants, représente typiquement le plus gros problème de sécurité. Cela signifie que les paramètres par défaut pour le chiffrement renforcé et la stratégie de sécurité peuvent être définies au haut niveau sans contrainte pour les processus normaux de l’entreprise.

Gestion des clés de chiffrement

L’un des objectifs les plus importants en termes d’ergonomie est de savoir comment les utilisateurs sont censés partager des informations chiffrées. Il existe deux méthodes :
Le partage de mots de passe, qui souffre du problème de sécurité ou de rétention. Il est soit peu sécurisé car facile à mémoriser ; soit suffisamment sécurisé mais impossible à mémoriser. Les utilisateurs sont donc contraints d’écrire les mots de passe réduisant ainsi la sécurité.
Le chiffrement par clé publique, qui fonctionne bien dans les petits groupes de travail sans roulement de personnel, mais devient complexe et problématique avec des équipes plus grandes ou plus dynamiques.
L’utilisation de clés de chiffrement partagées, à gestion centralisée, permet d’éviter tous ces problèmes, avec l’avantage supplémentaire d’imiter la façon dont les clés physiques fonctionnent (comme celle d’un appartement ou d’une voiture par exemple). Comme le personnel est déjà habitué à ce genre de fonctionnement, l’explication en devient plus aisée. Couplé à un système de gestion à distance haut de gamme, les clés de chiffrement partagées atteignent l’équilibre optimal entre sécurité et fonctionnalité.

Testez ESET DESlock+

Remplissez le formulaire ci-dessous pour recevoir une licence d’essai et ainsi profiter du chiffrement par ESET. Votre revendeur ESET vous contactera ensuite par email ou par téléphone.

Comment ESET peut vous aider ?

Notre solution :
DESlock Encryption by ESET

Le chiffrement des données personnelles dans vos systèmes peut vous aider à répondre aux nombreuses exigences du RGPD. La solution ESET est puissante, simple à déployer et peut chiffrer en toute sécurité tous lecteurs, supports amovibles, fichiers et emails.

DESlock Encryption vous permet de respecter les obligations en matière de sécurité des données grâce à sa facilité d’utilisation tout en maintenant une productivité élevée. Avec des frais d’assistance réduits et des cycles de déploiement courts. Aucun autre produit ne peut être comparé à DESlock en termes de flexibilité et de simplicité d’utilisation.

Il ne nécessite qu’une interaction minimale de la part de l’utilisateur et améliore la conformité et la sécurité des données de votre entreprise à partir d’un seul package MSI. Côté serveur, la gestion des utilisateurs et des postes de travail est facilitée et la protection de votre entreprise est étendue au-delà de votre réseau interne.

Qu’est-ce que DESlock Encryption vous apporte ?

Chiffre les fichiers des entreprises de toutes tailles en toute sécurité que ce soit sur disques durs, périphériques amovibles et dans les emails

Certification: Chiffrement FIPS 140-2 validé 256 bit AES pour une sécurité accrue

Gestion à distance via le cloud pour les clés de chiffrement et le contrôle des autorisations de sécurité

Support pour Microsoft® Windows® 10, 8, 8.1 incluant UEFI et GPT, 7, Vista, XP SP 3; Microsoft Windows Server 2003-2012; Apple iOS

Algorithmes & standards: AES 256 bit, AES 128 bit, SHA 256 bit, SHA1 160 bit, RSA 1024 bit, Triple DES 112 bit, Blowfish 128 bit

Fonctionnalités de DESlock+ Pro

Chiffrement complet du disque dur
Une sécurité rapide et transparente au démarrage

Chiffrement des supports amovibles
Chiffrement des support amovibles adaptable à toutes les règles de sécurité de votre entreprise

Plug-in Outlook pour emails & pièces-jointes
Envoyez et recevez facilement des e-mails et des pièces jointes chiffrés via Outlook

Disques virtuels & archives chiffrées
Créez un espace chiffré sur votre PC ou sur un support externe ou créez une copie chiffrée de l’arborescence entière et de ses fichiers

Chiffrement des fichiers & dossiers
Rapide et transparent, offre une couche de sécurité supplémentaire

Chiffrement des textes & du presse-papiers
Chiffrez tout ou partie d’une fenêtre de texte – navigateurs Web, champs de base de données ou email

Compatible avec gestion centralisée
Contrôle total des licences et des fonctionnalités logicielles, des règles de sécurité et des clés de chiffrement.

DESlock+ Go portable encryption
Déploiement & utilisation simplifiés sur systèmes sans licences

Testez gratuitement ESET DESlock+

Remplissez le formulaire avec vos coordonnées afin que nous puissions mettre à votre disposition une version d’essai vous permettant de profiter des avantages du chiffrement par ESET

Nous utilisons des cookies pour vous garantir la meilleure expérience utilisateur sur notre site web. En savoir plus.

OK