La protection des données est essentielle. Voici comment ESET peut vous aider

EN SAVOIR PLUS
Qu’est-ce que le RGPD ?

Êtes-vous en conformité avec le RGPD ?

En mai 2018, une nouvelle réglementation européenne en matière de protection des données entre en vigueur.

Si vous êtes directement concerné, il est temps de penser à se mettre en conformité. Ce site a été conçu pour vous aider à appréhender cette réglementation, quantifier les exigences qu’elle impose et trouver des solutions. Le Règlement Général sur la Protection des Données (RGPD) a une incidence sur toutes les organisations européennes qui prennent en charge des données personnelles de tous types. Mais également les entreprises qui font des affaires dans l’Union Européenne. Les règles sont complexes et les amendes pour non-conformité, importantes (jusqu’à 20 millions d’euros).

Rassurez-vous, vous êtes au bon endroit pour en savoir plus !

calendar due date GDPR

Pour en savoir plus

Laissez-nous vos coordonnées afin de recevoir toutes les informations pratiques concernant cette nouvelle réglementation et les impacts sur votre entreprise.
Nous vous recontacterons rapidement.

guide general data protection regulation

Online compliance check

This site is designed to help you understand the GDPR, quantify the requirements, and offer solutions.

Se conformer au RGPD, étape par étape

Les implications du RGPD sont complexes, nous avons donc divisé le processus de conformité en trois groupes de mesures qu’il faut considérer, eux-mêmes subdivisés en divers domaines d'explications plus détaillées. Cliquez sur les barres du diagramme ci-dessous pour examiner ces différentes zones à votre convenance.

+Résumé

Certains principes énoncés dans le RGPD sont une continuité de ceux énoncés dans la directive existante sur la protection des données, à savoir : l’impartialité, la légalité et la transparence, la limitation de l’objectif, la minimisation des données, la qualité des données, la sécurité, l’intégrité et la confidentialité.

Le RGPD établit un nouveau principe de responsabilité en désignant This triggers the tooltip en charge de démontrer le respect de ces principes. De plus, le RGPD introduit de nouveaux aspects dans la protection des données :

Légalité, impartialité et transparence : les données à caractère personnel doivent désormais être traitées de manière transparente vis-à-vis de la personne concernée.

Limitation de l’objectif : avec certaines réserves, l’archivage des données à caractère personnel dans le cadre de l’intérêt public ne sera pas considéré comme incompatible avec le traitement original.

Stockage : les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées et pour une durée ne dépassant pas celle nécessaire aux fins pour lesquelles elles sont traitées.

Responsabilité : le responsable du traitement devient responsable de la conformité aux principes et doit pouvoir le démontrer.

+Structure organisationnelle

Dans le cadre du RGPD, vous devez mettre en œuvre des mesures afin de réduire le risque de violation de ce règlement et de prouver que vous prenez en compte la protection des données. Parmi les mesures nécessaires, on peut citer : l’évaluation de l’impact sur la vie privée, les audits, la révision des politiques de sécurité, les enregistrements d’activité et (potentiellement) la nomination d’un Délégué à la Protection des Données (DPO).

 

Le RGPD introduit l’obligation pour certaines organisations de nommer un Délégué à la Protection des Données (DPO). Cette personne sera un employé ou un consultant externe.

Si vous êtes un marketeur avec une importante base de données clients, il vous faudra certainement nommer un DPO ; les autorités nationales fournissent des indications sur les personnes qualifiées.

Le DPO sera responsable du suivi de la conformité au RGPD, vous informera de vos obligations, vous indiquera quand et comment une évaluation sur l’impact sur la vie privée devra être effectuée et sera le point de contact pour les demandes des autorités nationales de protection des données et des particuliers.

La notion de « guichet unique » permet à une organisation établie dans plusieurs pays de l’Union Européenne de traiter qu’avec une seule autorité nationale de protection des données , bien que les règles pour déterminer quelle autorité doit assumer ce rôle et comment traiter les plaintes sont complexes dans certains cas.

+Processus, procédures et politiques

Le RGPD redéfinit la violation de données comme “une faille de sécurité conduisant à la destruction accidentelle ou illégale, la perte, la modification, la divulgation non autorisée ou l’accès aux données personnelles transmises, stockées ou traitées”.

Cette définition plus large qu’auparavant ne prend pas en considération le fait que cette violation créé un préjudice à l’individu. Si vous êtes victime d’une faille de sécurité, vous devez informer l’autorité nationale de protection des données immédiatement, ou au plus tard dans les 72h après sa découverte.

Toutefois, vous êtes dispensé de notifier les personnes concernées si des mesures techniques et organisationnelles appropriées pour la protection des données ont été mises en place – le chiffrement, par exemple.

Le respect du RGPD passe également par la notion de « privacy by design », soit la conception d’un nouveau processus ou produit en prenant en compte les exigences de confidentialité dès le départ. Cette approche, bien que précédemment fortement conseillée, est maintenant une exigence explicite du règlement.

La réalisation d’une étude d’impact à identifier et minimiser les risques de non-conformité.

Le RGPD impose la réalisation d’une telle étude. Les responsables du traitement doivent veiller à ce qu’elle ait été exécutée avant de démarrer toute activité de traitement « à haut risque »

Si vous êtes implantés à l’international, les règles et processus de transfert des données vers des juridictions extracommunautaires sont considérables. Les pénalités pour non-conformité ou transfert de données à des juridictions non reconnues (par la Commission Européenne) sont beaucoup plus sévères dans le cadre du RGPD.

+Sensibilisation à la sécurité des données

Il est temps d’informer vos exmployés des besoins de conformité liés au RGPD, de planifier la révision des procédures pour faire face aux nouvelles dispositions en matière de transparence et de droits individuels du RGPD. Cela pourrait avoir des implications financières, informatiques et de formation importantes.

+Responsabilité - mesures techniques

Le RGPD rend les  responsables du traitement en charge de la démonstration de la conformité avec ses principes de protection des données. Vous devez donc vous assurer que vous avez des politiques claires en place pour prouver que vous répondez aux normes requises en surveillant, examinant et évaluant régulièrement vos procédures de traitement des données, en établissant des garanties et en veillant à ce que votre personnel soit formé pour comprendre ces obligations. Soyez prêts à le démontrer à tout moment, lorsque votre autorité chargée de la protection des données en fait la demande.

+Violation des données - mesures techniques

Vous devez vous prémunir des failles de sécurité des données (définies comme « une faille de sécurité conduisant à la destruction accidentelle ou illégale, la perte, la modification, la divulgation non autorisée ou l’accès aux données personnelles transmises, stockées ou traitées ») par la mise en place de politiques claires et de procédures éprouvées afin de vous assurer le fait de pouvoir réagir et notifier toute violation des données, le cas échéant.

Le fait de ne pas signaler une infraction lorsque cela est demandé peut entraîner une amende en complément de l’amende pour la violation elle-même.

+Assurer les droits des personnes concernées - techniquement

Le RGPD renforce les droits des personnes , en ajoutant par exemple le droit d’exiger des informations sur les données traitées, l’accès aux données dans certaines conditions et la correction des données erronnées.

L’un des principaux objectifs du RGPD est de renforcer les droits des individus. Par conséquent, les règles relatives au traitement des demandes d’accès changent. Vos procédures doivent donc être mises à jour pour réfléter cela.

Le droit à l’oubli (« effacement » dans la terminologie du RGPD) permet aux particuliers d’exiger des responsables du traitement qu’ils effacent leurs données personnels sans retard excessif dans certaines situations. Par exemple, en cas de problme avec la légalité sous-jacente du traitement ou lorsqu’ils retirent leur consentement.

Les tierces personnes avec qui vous partagez les données personnelles sont également soumises à ces règles.

 

Le RGPD définit le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant en l’utilisation de données pour évaluer certains aspects relatifs à une personne physique – notamment pour analyser ou prévoir certains aspects relatifs à la performance physique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, l’emplacement ou le mouvement ». Cependant, il existe une certaine ambiguïte quant à la manière dont sera appliqué le droit des personnes concernées de ne pas être soumis à des décisions basées.

Le RGPD introduit un nouveau droit à la portabilité des données, qui va au-delà du droit des individus à exiger que les données leur soient fournies sous une forme électronique couramment utilisée et exige que le responsable du traitement fournisse des informations sous une forme structurée, couramment utilisée et lisible par machine.

 

Il y a certaines limites à cette règle. Par exemple, elle ne s’applique qu’aux données personnelles traitées par des moyens automatisés.

Dans l’objectif de renforcer les droits des particuliers, la Commission Européenne accorde également un droit de restreindre certains traitements et un droit d’opposition aux données personnelles traitées et/ou profilées à des fins de marketing direct.

Après opposition d’un utilisateur, ses données ne doivent plus être traitées pour la commercialisation directe et ses coordonnées doivent être ajoutées à une liste interne de suppression.

Les organisations doivent informer les individus de leur droit à s’opposer aux traitements de leurs données d’une manière explicite et distincte des autres informations qu’elles doivent également fournir à ces personnes.

+Communiquer les renseignements personnels (consentements, avis de traitement équitable)

Vous devrez peut-être revoir la façon dont vous cherchez, obtenez et enregistrez les consentements. Le consentement d’une personne concernée par le traitement des données à caractère personnel doit être aussi facile à retirer qu’à donner et doit également être une indication positive de l’acceptation des données personnelles traitées – il ne peut être déduit du silence, des cases pré-cochées ou de l’inactivité.

 

Dans l’objectif de renforcer les droits des particuliers, la Commission Européenne accorde également un droit de restreindre certains traitements et un droit d’opposition aux données personnelles traitées et/ou profilées à des fins de marketing direct.

Après opposition d’un utilisateur, ses données ne doivent plus être traitées pour la commercialisation directe et ses coordonnées doivent être ajoutées à une liste interne de suppression. Les organisations doivent informer les individus de leur droit à s’opposer aux traitements de leurs données d’une manière explicite et distincte des autres informations qu’elles doivent également fournir à ces personnes.

Le RGPD augmentera probablement le nombre de choses pour lesquelles vous devez informer les personnes concernées . Par exemple, la solution utilisée pour le traitement des données, le temps de conservation des données et leur droit à porter plainte auprès de l’autorité nationale de protection des données s’ils pensent qu’il y a un problème avec la façon dont vous manipulez leurs données. Le RGPD exige que ces informations soient fournies dans un langage clair et concis.

+Sécurité des données (intégrité et confidentialité)

Le RGPD établit des principes de sécurité des données similaires à ceux de la directive actuelle, notamment : l’impartialité, la légalité et la transparence, la limitation de l’objectif, la minimisation des données, la qualité des données, la sécurité, l’intégrité et la confidentialité.

Vous devez vous assurer que les données à caractère personnel sont traitées de manière à assurer leur sécurité, y compris la protection contre le traitement non autorisé ou illégal, et contre les pertes, destructions ou dommages accidentels : « L’organisation et tout prestataire de services externe mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité approprié face aux risques ».

Le règlement propose un certain nombre de mesures de sécurité qui peuvent être utilisées pour assurer la protection des données ainsi que la pseudonymisation et le chiffrement des données personnelles ; la capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services traitant des données à caractère personnel ; la possibilité de rétablir la disponibilité et l’accès aux données personnelles en cas d’incident physique ou technique. Le règlement propose également un processus permettant de tester et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement des données à caractère personnel.

Le RGPD désigne le chiffrement comme une approche pouvant aider à assurer le respect de certaines de ses obligations. Extraits du règlement :

Article 32 – Sécurité du traitement

1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : (a) la pseudonymisation et le chiffrement des données à caractère personnel […] ”

Article 34 – Communication à la personne concernée d’une violation de données à caractère personnel

“33. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie : a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement […] ”

+Documentation et audit des données

Vous devez documenter les données personnelles que vous détenez, d’où elles proviennent et avec qui vous les partagez.

Si vous disposez de données personnelles inexactes et qu’elles ont été partagées avec une autre organisation, le RGPD exige que vous informiez l’autre organisation de l’inexactitude afin qu’elle puisse corriger ses propres enregistrements. Pour ce fait, il peut être nécessaire d’effectuer une vérification de l’information dans votre oriagnisation ou dans des secteurs d’activité particuliers. Cela vous aider également à respecter le principe de responsabilité du RGPD.

Dans le cadre du RGPD, vous devez examiner la façon dont vous traitez les données personnelles et identifier la solution sur laquelle vous effectuez ces traitements et documenter les processus.

Cette étape est nécessaire car les droits de certaines personnes seront modifiés par le RGPD en fonction de la solution utilisée pour le traitement de leurs données personnelles. Un exemple, les personnes auront un droit plus fort si vous utilisez le consentement comme base légale pour le traitement. Cependant, le consentement n’est qu’une des nombreuses façons de légitimer l’activité de transformation et peut ne pas être le meilleur (car il peut être retiré).

Les informations présentes sur cette page web ne constituent pas un avis juridique et les utilisateurs ne doivent pas se fier à leur exactitude lorsqu'ils prennent des décisions financières ou commerciales. ESET ne sera pas responsable des conséquences résultant de ces actions. Il vous faudra toujours l’avis d’un conseiller juridique indépendant.

Participez à nos web-séminaires

La multiplication des systèmes d’exploitation, plateformes et équipements rend la sécurité des entreprises plus complexe, et les cybercriminels l’ont bien compris. Peu importe la taille de l’entreprise de vos clients, il est aujourd’hui indispensable de se protéger.

Le chiffrement comme solution

Qu'est-ce que le chiffrement ?

Le cryptage est le processus d’encodage qui empêche des personnes tierces non autorisées d’avoir accès aux informations.

Longueur de la clé et niveau de cryptage

Le niveau de cryptage est le plus souvent équivalent à la longueur de la clé (bits) et à l’algorithme de cryptage utilisé. La façon la plus simple de se défaire d’un cryptage est d’essayer toutes les clés possibles. Cela s’appelle une attaque en force, mais des clés plus longues ont rendu cette approche inefficace.

Pour forcer brutalement une clé AES de 128 bits, chacune des quelques 7 milliards de personnes sur Terre devrait vérifier 1 milliard de clés par seconde pendant environ 1,5 trillion d’années afin de pouvoir tester chaque clé.

Pour cette raison, les cybercriminels ne tentent généralement pas de faire une attaque en force ou du rétro-ingénierie sur l’algorithme de la clé.

Au lieu de cela, ils cherchent des vulnérabilités dans le logiciel de cryptage ou tentent d’infecter le système avec des logiciels malveillants pour capturer des mots de passe ou la clé pendant leur traitement.

Pour minimiser ces risques, vous devez utiliser un produit de cryptage et exécuter une solution anti-malware professionnelle à jour.

Comment cela fonctionne ?

Le chiffrement est appliqué, le plus souvent, de deux manières différentes :

Encrypted storage – souvent appelé données au repos – est le plus couramment utilisé pour crypter un disque, un lecteur ou un périphérique entier.

Ce type de cryptage ne prend effet qu’une fois le système arrêté, le lecteur éjecté ou la clé de cryptage bloquée.

Le contenu crypté également appelé cryptage granulaire – désigne, généralement, le cryptage de fichiers ou de texte au niveau de l’application.

L’exemple le plus courant est le cryptage du courrier électronique, où le format du message doit rester intact pour que l’application client de messagerie puisse le gérer, mais le corps du texte de l’e-mail est cependant crypté avec toutes les pièces jointes.

eset data encryption example

Quelles sont mes attentes face au chiffrement ?

Bien que la longueur des clés et la plage des fonctionnalités du logiciel soient importantes, elles ne vous indiquent pas à quel point un produit fonctionnera du point de vue de l’utilisateur – ou de celui de l’administrateur.

Validation FIPS - 140

La validation indépendante la plus largement acceptée est la norme FIPS – 140.
Si un produit est validé par la norme FIPS – 140, alors il est déjà plus sûr dans la plupart des situations et sera conforme pour le RGPD et les autres règlements.

Simplicité d’utilisation au quotidien

Dans certaines situations, vos employés devront décider de chiffrer ou non un document, un email, … Il est essentiel qu’ils puissent utiliser le logiciel fourni et être sûrs que le chiffrement des données ne bloquera pas leurs informations ou les rendra lisibles à l’extérieur.

Gestion à distance des clés, paramètres et politiques de sécurité

Pour éviter que le personnel n’ait à prendre des décisions de sécurité, le chiffrement peut être appliqué partout – mais cela tend à restreindre les processus commerciaux légitimes et à étouffer la productivité.
La gestion à distance permet de modifier les clés de chiffrement, les fonctionnalités ou les stratégies de sécurité pour les utilisateurs distants, qui représentent généralement les plus gros problèmes de sécurité. Elle permet également de définir les paramètres par défaut pour le chiffrement et la politique de sécurité sans ralentir les processus internes.

Gestion des clés de chiffrement

Un des plus grands défis est de savoir quelles sont les méthodes par lesquelles les utilisateurs vont partager des informations chiffrées. Il existe deux méthodes traditionnelles.

Mots de passe partagés, qui peuvent soit être trop simples et souvent identifiables, soit trop compliqués et donc difficiles à mémoriser.

Le chiffrement de clé publique, qui fonctionne bien dans les groupes de travail plus petits avec un faible niveau de rotation du personnel, mais qui devient complexe et problématique avec des équipes plus grandes ou plus dynamiques.

L’utilisation de clés de chiffrement partagées gérées à distance évite ces problèmes car on les utilise de la même façon que les clés physiques pour verrouiller nos maisons, appartements, voitures, etc.
Le personnel comprend déjà parfaitement ce concept. Couplé à un système de gestion à distance haut de gamme, les clés de chiffrement partagées atteignent l’équilibre optimal entre sécurité et fonctionnalité.

Essayez DESlock Encryption by ESET gratuitement

Complétez le formulaire ci-dessous pour recevoir une version d’évaluation et découvrir les avantages du chiffrement ESET

ESET vous accompagne

Notre solution :
DESlock Encryption by ESET

Le chiffrement des données personnelles contenues dans vos systèmes aide à satisfaire les nombreuses exigences du RGPD. La solution ESET est puissante, simple à déployer et chiffre en toute sécurité les disques durs, supports amovibles, fichiers et emails.

DESlock Encryption vous aide à respecter les obligations en matière de sécurité grâce à l’application de politiques de chiffrement tout en maintenant une productivité élevée. Avec son faible besoin en support et ses cycles de déploiement courts, DESlock Encryption vous offre une grande flexibilité et une simplicité d’utilisation.

Côté poste de travail, la solution nécessite une interaction minimale de l’utilisateur. À partir d’un seul package MSI, améliorez la conformité et la sécurité des données de votre entreprise.
Côté serveur, la console facilite la gestion des utilisateurs/postes de travail et étend la protection de votre entreprise au-delà de son réseau.

L’offre DESlock Encryption

Un cryptage simple et puissant pour les organisations de toutes tailles permettant de crypter en toute sécurité de fichiers sur disques durs, périphériques portables et l’envoi par courrier électronique

Certifications : FIPS 140-2 validé chiffrement AES 256 bits pour une sécurité assurée

Serveur de gestion basé sur le Cloud hybride pour un contrôle à distance des clés de chiffrement et politiques de sécurité

Compatibilités : Microsoft® Windows 10, 8, 8.1 (UEFI et GPT inclus), 7, Vista, XP SP 3 ; Microsoft® Windows Server 2003-2012 ; Apple iOS®

Algorithmes et standards : AES 256 bits, AES 128 bits, SHA 256 bits, SHA1 160 bits, RSA 1024 bits, Triple DES 112 bits, Blowfish 128 bits

DESlock Encryption - Les principaux avantages

Chiffrement complet des disques
Sécurité pré-boot rapide et transparente

Chiffrement des médias amovibles
Application des politiques de sécurité définies par l’entreprise

Plug-in Outlook® pour le courrier électronique et les pièces jointes
Envoyer et recevoir facilement des e-mails chiffrés et des pièces jointes via Outlook

Disques virtuels et archives cryptées
Créer un volume sécurisé et crypté sur le poste ou une copie cryptée d’une arborescence complète et de ses fichiers

Chiffrement des fichiers et des dossiers
Couche de sécurité supplémentaire simple et efficace

Chiffrement du texte et presse-papiers
Sécurité de la totalité ou d’une partie de fenêtre de texte – navigateurs web, champs bases de données ou webmails

Gestion centralisée adaptée
Contrôle total des licences et des fonctionnalités logicielles, de la politique de sécurité et des clés de cryptage

Cryptage portable DESlock Encryption
Logiciel facile à utiliser sur l’appareil pour le déploiement sur des systèmes sans licence

Tester gratuitement DESlock Encryption

Complétez le formulaire ci-dessous pour recevoir une version d’évaluation et découvrir les avantages du chiffrement ESET

En continuant votre navigation sur ce site, vous acceptez l'utilisation de cookies destinés à vous proposer une expérience personnalisée.

OK