Lorsque le Règlement général sur la protection des données (RGPD) est entré en vigueur, en 2018, les entreprises entretenant des relations commerciales avec des citoyens de l’Union européenne ont tout fait pour se mettre en conformité avec les exigences de confidentialité. Mais dans ce genre de problématique, il ne faut jamais considérer qu’on a fait le nécessaire une fois pour toutes.
Les entreprises et organismes qui collectent et stockent des données personnelles doivent mener régulièrement des audits de leurs processus afin de vérifier qu’ils sont toujours conformes au RGPD.
L’enjeu du RGPD n’est pas seulement de rendre à chacun le contrôle de ses données (des informations conservées, de la manière d’y accéder ou de les supprimer dans un système données). Il bénéficie également aux entreprises qui collectent et stockent ces données, dans la mesure où il établit des protocoles de classification, de stockage, de sécurité et de contrôle individuel des informations.
Ces enjeux sont d’autant plus importants au regard de la multiplication des violations de données. Selon Statista, aux États-Unis seulement, 471 millions d’enregistrements ont été divulgués en 2018, et 164,68 millions supplémentaires en 2019.
Dans ces circonstances, il est essentiel que les entreprises mettent tout en œuvre pour garantir la sécurité des données personnelles - sous peine de subir des sanctions financières considérables et de nuire gravement à leur réputation. Appliquer les principes de protection de données du RGPD peut vous aider à protéger vos données.
Des audits réguliers des procédures de traitement de données doivent porter à la fois sur les éléments techniques et humains. Une panne technologique, un vol d’équipement physique, une attaque délibérée sur le réseau (par un logiciel malveillant, une tentative de hameçonnage ou un ransomware), ou encore des actions inappropriées d’un salarié, qu’elles soient délibérées ou non, peuvent mettre en danger des milliers d’enregistrements sensibles.
Seule une évaluation rigoureuse de l’ensemble des processus et systèmes peut déterminer comment une solution impactera le contenu client, la portabilité des données, les droits d’accès et la suppression de données. Dans le même temps, elle garantira que la plateforme utilisée peut assurer un objectif de délai de restauration (RTO) quasi nul et fournir des snapshots immuables, conformément aux exigences du RGPD.
Concernant le champ d’application des audits, l’Information Commissioner’s Office (ICO), organisme indépendant du Royaume-Uni chargé de faire respecter les droits relatifs aux informations, recommande d’examiner et, si nécessaire, de mettre à jour, les points suivants :
Règles de conservation, d’accès et de suppression des données — Règles claires, à destination du public, établissant les modalités de collecte et d’utilisation des données personnelles, les méthodes de contrôle des restrictions d’utilisation, et les moyens de demander un accès à ces données ou leur suppression
Gestion, classement et stockage des données — Procédures de chiffrement des données personnelles, de classement selon l’une des trois classifications standard, d’identification de leur emplacement dans le système, et d’élaboration de méthodes de récupération appropriées ainsi que de garanties de redondances locales et globales en cas de panne à l’échelle du site, d’un composant ou du logiciel, ou bien d’attaque extérieure
Reprise après sinistre — Plan complet de restauration après une violation de données, comprenant la possibilité technique d’une restauration de fichiers de données à n’importe quel point dans le temps, en un clic, qu’ils aient été stockés sur site ou dans le cloud, ainsi qu’un signalement aux autorités et aux personnes dont les informations peuvent avoir été compromises, et une réponse aux demandes individuelles de modification et de suppression des données
Mesures de sécurité — Protocoles de sécurité pour les enregistrements sensibles, numériques ou papier, incluant une surveillance proactive visant à identifier les vulnérabilités potentielles, les violations de données et les tentatives d’accès non autorisées
Formation — Formation des salariés sur tous les aspects des principes de protection établis par le RGPD et des règles internes de gestion de données.
En établissant un calendrier d’audits réguliers, les entreprises s’assurent de répondre aux exigences du RGPD tout en protégeant les données sensibles qui leur ont été confiées.
Rubrik simplifie et accélère la conformité au GDPR à travers une plateforme unique, offrant des fonctions de gestion des données sur site et dans le cloud. Elle permet aux utilisateurs d’automatiser les règles de protection des données et les délais d’expiration tout en garantissant une complète transparence sur l’emplacement de ces données et la manière dont la conformité est garantie à l’échelle de toute l’infrastructure.
Découvrez comment Rubrik peut vous aider à répondre aux exigences de conformité au RGPD et de confidentialité.