Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Comment se conformer au RGPD : 10 étapes clés

Comment se conformer au RGPD : 10 étapes clés

Oct 21, 2021

Le General Data Protection Regulation (GDPR) est conçu pour protéger les données personnelles des résidents de l'UE en réglementant la manière dont ces informations sont collectées, stockées, traitées et détruites. La loi sur la data security et la vie privée s'applique à toutes les organisations qui collectent les données personnelles des citoyens de l'Union européenne, quel que soit leur emplacement. Les pénalités pour non-conformité aux exigences du GDPR sont sévères.

De nombreuses organisations ont du mal à se conformer au RGPD. Dans cet article, vous trouverez 10 étapes qui aideront votre entreprise à atteindre, maintenir et prouver la conformité avec les exigences du RGPD.

Comment être conforme au RGPD

1. Déterminez si la loi s'applique à votre organisation et comment.

Votre organisation est-elle soumise au RGPD ?

Tout d'abord, déterminez si vous devez vous conformer au RGPD. Pour un test simple, considérez si vous avez des utilisateurs ou des clients qui résident dans l'UE. Si la réponse est oui, vous devez mettre en œuvre des mesures de conformité.

Pour être plus précis, voici quelques exemples de circonstances courantes qui exigeraient que votre organisation se conforme au RGPD :

  • Vous collectez ou traitez les données des résidents de l'UE.
  • Vous expédiez dans l'UE, mentionnez l'UE sur votre site web ou acceptez les paiements en monnaie de l'UE.
  • Vous proposez un logiciel, tel qu'un jeu ou une application, qui collecte des données personnelles dans le cadre du processus d'inscription, et le logiciel est disponible dans l'UE

Êtes-vous un processeur de données ou un contrôleur de données ?

Si le RGPD vous concerne, votre prochaine étape consiste à déterminer si vous êtes un processeur de données ou un contrôleur de données, car ils ont des obligations de conformité différentes.

  • Les responsables du traitement des données sont chargés de protéger les données, et leurs obligations comprennent :
    • Obtention du consentement
    • Gouvernance des accès
    • Assurer la légalité du traitement des données
    • Transparence de l'information
    • Protéger l'exactitude
    • Assurer la confidentialité

Contenu connexe sélectionné :

  • Data processors collect and manipulate data. In some cases, this may be the data controller, but it may also be a third party or another service that analyzes the data. Processors have less autonomy over the data they process, but they still have obligations, including:
    • Traitement des données uniquement selon les instructions du responsable du traitement
    • Conclure un contrat contraignant avec le processeur
    • Ne pas faire appel à des sous-traitants sans le consentement du responsable du traitement
    • Assurer la sécurité des données
    • Notifier le contrôleur de la violation de donnéeses
    • Suivant les directives de responsabilité
    • Suivant les protocoles de transfert international
    • Coopération avec les autorités

Quelles données devez-vous protéger ?

Enfin, déterminez quelles données le RGPD vous oblige à protéger. Selon le RGPD, les données personnelles sont définies comme « toute information relative à une personne physique identifiée ou identifiable, vivante. » Cela inclut toutes les informations qui pourraient être utilisées pour identifier une personne, telles que :

  • Noms
  • Données de localisation
  • Identifiants en ligne
  • Origine raciale ou ethnique
  • Croyances religieuses
  • Opinions politiques
  • Informations sur la santé
  • Vie sexuelle
  • Données génétiques
  • Des données biométriques telles que les empreintes digitales ou la reconnaissance faciale

2. Attribuez des rôles et responsabilités.

Parmi les nouveaux rôles dont vous pourriez avoir besoin pour la conformité, on peut citer :

  • Responsable de la conformité
  • Chef de projet
  • Délégué à la protection des données (DPO) — Selon l'Article 37, vous devez désigner un DPO si vous êtes une entreprise publique, si les activités principales de votre entreprise impliquent la manipulation de données, ou si votre entreprise traite et stocke de grandes quantités de données personnelles appartenant à des citoyens de l'UE.

Définissez les rôles et responsabilités pour déterminer lesquels peuvent être pourvus par le personnel actuel et lesquels nécessiteront de nouvelles embauches.

Conseil : Consacrez du temps à obtenir le soutien de votre équipe de direction ou du conseil d'administration car ils devront allouer des ressources. Assurez-vous que les membres comprennent les risques liés à des mesures de protection des données insuffisantes et les avantages de la conformité au RGPD.

3. Choisissez un ou plusieurs cadres.

Se conformer au RGPD peut être plus facile si vous suivez un cadre qui vous aide à mettre en œuvre les meilleures pratiques fondamentales pour réduire les risques de sécurité des données et de confidentialité dans vos systèmes et services. Il n'existe pas de cadre parfait, mais il y a divers cadres qui peuvent vous aider à vous conformer à différents aspects du RGPD. Ils comprennent :

  • ISO 27001 — Un cadre de système de gestion de la sécurité de l'information (SGSI) qui aide à réduire le risque de violation
  • ISO/IEC 27701:2019 — Une extension de l'ISO/IEC 27001 axée sur la confidentialité des données
  • NIST Privacy Framework — Un cadre qui aide à identifier et gérer les risques liés à la vie privée
  • Cadre d'évaluation des risques NIST 800-30 — Un guide pour réaliser des évaluations des risques (qui sont discutées ci-dessous)
  • NIST 800-53 Contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations — Un catalogue de contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations afin de se protéger contre de nombreux types de risques
  • BS 10012 Gestion des informations personnelles — Un cadre pour la gestion des informations personnelles
  • Cadre PCI DSS— Un cadre utilisé pour protéger les données de carte de paiement des consommateurs
  • NIST Cybersecurity Framework — Un cadre qui aide les organisations à mesurer la maturité de leurs systèmes de cybersécurité et de gestion des risques et à identifier les étapes pour les renforcer

4. Réalisez des évaluations des risques.

Réaliser des évaluations des risques est un élément essentiel pour se conformer à l'article 32 et à l'article 35 du RGPD.

Contenu connexe sélectionné :

Cela est réalisé avec une Data Protection Impact Assessment (DPIA), qui est une méthode d'analyse, d'identification et de minimisation des risques pour la protection des données d'un projet. Vous devez réaliser une DPIA avant de commencer le traitement des données susceptible d'entraîner un risque élevé pour les données personnelles. Des exemples de processus à haut risque incluent :

  • Utiliser une nouvelle technologie ou utiliser une technologie existante d'une manière nouvelle
  • Des décisions automatisées qui pourraient entraîner un refus de services
  • Surveillance à grande échelle des lieux publics ou autre profilage à grande échelle
  • Traitement des données biométriques utilisées pour identifier une personne
  • Traitement des données génétiques, sauf si cela est effectué par un prestataire de soins de santé individuel pour la prise en charge du sujet des données
  • Association ou combinaison de données personnelles provenant de multiples sources
  • Traitement des données qui n'ont pas été obtenues auprès du sujet des données
  • Suivi de la géolocalisation ou du comportement d'une personne, en ligne et hors ligne
  • Traitement des données des enfants pour le marketing, le profilage, la prise de décision automatisée ou la proposition de services
  • Traitement des données qui pourraient causer un préjudice physique à une personne si elles étaient divulguées

Cette liste n'est pas exhaustive ; c'est à vous de décider s'il convient de réaliser une AIPD pour des processus qui ne sont pas spécifiquement mentionnés dans l'Article 35. En cas de doute, il vaut mieux en faire une. Idéalement, une AIPD sera effectuée lors de la phase de planification d'un projet et vous aidera à décider s'il y a un risque et comment le mitiger.

Une AIPD devrait faire tout ce qui suit :

  • Identifiez le besoin d'une AIPD en expliquant l'objectif de votre projet et le type de traitement impliqué
  • Décrivez le traitement, y compris sa nature, son étendue, son contexte et son but
  • Impliquez la consultation avec les parties prenantes concernées ou expliquez pourquoi cela n'est pas nécessaire
  • Évaluez la nécessité et la proportionnalité, y compris la légalité et la minimisation des données
  • Identifiez et évaluez les risques
  • Identifiez des mesures pour réduire les risques
  • Incluez des validations et enregistrez les résultats

Après avoir complété une AIPD, vous devriez mettre en œuvre les mesures que vous avez identifiées dans votre projet et continuer à les réviser tout au long de votre projet. Pour plus d'informations sur la réalisation d'une AIPD, lisez cet article.

5. Établissez une gouvernance des données.

La gouvernance des données concerne les politiques et les processus relatifs à l'utilisation appropriée des données personnelles lorsqu'elles entrent et sortent de votre organisation. Les procédures de gouvernance des données garantissent que des normes élevées sont maintenues tout au long du cycle de vie de vos données. Votre processus de gouvernance des données doit également répondre aux exigences de l'Article 30 qui se rapportent aux registres des activités de traitement.

Votre stratégie de gouvernance des données devrait inclure ce qui suit :

  • Un inventaire de données qui fournit un registre de toutes les sources de données de votre entreprise, quelles données sont collectées et comment, et ce qu'il advient de ces données
  • Netwrix Data Classification, qui classe les données en types afin qu'elles puissent être protégées conformément à leur valeur et à leur sensibilité
  • Stratégies pour garantir que vos processus de collecte de données sont légaux, équitables et transparents
  • Méthodes pour tenir à jour les registres du traitement des données personnelles
  • Procédures pour réaliser une AIPD lorsque votre traitement de données est susceptible de présenter un risque élevé, comme décrit ci-dessus
  • Documents qui sont sous forme écrite, y compris électronique
  • Dossiers qui sont disponibles pour les autorités de contrôle sur demande

6. Mettez en place les contrôles appropriés.

Le RGPD ne spécifie pas les contrôles requis pour la conformité, mais stipule que vous devez mettre en œuvre des mesures pour répondre à la « sécurité du traitement » :

  • Utilisez les outils logiciels les plus récents pour sécuriser les données des clients.
  • Documentez la nature, l'objectif et la portée du traitement des données.
  • Séparez les données et appliquez des mesures de sécurité appropriées au risque.
  • Chiffrez et pseudonymisez les données lorsque c'est possible.
  • Rendez les données accessibles au sujet des données.
  • Protégez les données personnelles contre la lecture ou la modification par des utilisateurs non autorisés.
  • Testez et évaluez régulièrement l'efficacité de vos contrôles.
  • Prenez en compte tous les risques lorsque vous manipulez ou traitez des données.

La gestion des contrôles de sécurité, comme la plupart des autres aspects de la conformité au RGPD, est un processus continu. Une fois que vous avez mis en place vos contrôles, vous devrez auditer régulièrement vos activités de traitement des données et vos contrôles de sécurité. Recherchez une solution logicielle qui automatisera la gestion du plus grand nombre possible de contrôles de sécurité.

7. Respectez les droits des personnes concernées.

Vous aurez également besoin de politiques pour faire respecter les droits des sujets de données — les personnes dont vous collectez les données. En particulier, vous avez besoin d'un plan pour la manière dont vous gérerez ce qui suit :

  • Collecte et vérification des demandes d'accès des sujets de données (DSARs)
  • Répondre aux DSARs dans un délai d'un mois afin d'éviter des pénalités coûteuses
  • Politiques de gestion du consentement incluant la collecte, la conservation et l'effacement des données
  • Votre politique de cookies, y compris les formulaires de consentement et les méthodes pour modifier les préférences de cookies
  • Politiques et procédures pour gérer les obligations en cas de violation des données personnelles, y compris la détection, le signalement et l'investigation des violations

8. Créez et maintenez les documents requis.

Plusieurs articles du RGPD vous obligent à créer une documentation décrivant comment vous stockez et traitez les données. Le RGPD ne mandate pas la manière dont vous devez nommer vos documents, donc vous pouvez choisir des titres différents de ceux indiqués ci-dessous. De plus, certains documents peuvent être combinés si cela est approprié. Voici une liste des documents dont vous aurez besoin :

  • Politique de protection des données personnelles (Article 24) — Décrit comment la confidentialité est gérée dans votre entreprise
  • Avis de confidentialité (Articles 12,13,14) — Décrit comment les données personnelles sont traitées
  • Avis de confidentialité des employés (Articles 12, 13 et 14) — Explique comment les données personnelles des employés sont traitées
  • Politique de conservation des données (Articles 5, 13, 17 et 30) — Décrit le processus de décision sur la durée de conservation des données et la manière dont elles sont détruites
  • Calendrier de conservation des données (Article 30) — Répertorie les données réglementées et explique combien de temps chaque type de données sera conservé
  • Cartographie des flux de données (Article 30, 25, 6, 28, 35) — Cartographie le flux d'informations
  • Formulaire de consentement du sujet des données (Articles 6, 7 et 9) — Utilisé pour obtenir le consentement au traitement des données personnelles
  • Accord de traitement des données du fournisseur (Articles 28, 32 et 82) — Décrit les mesures de protection des données requises des processeurs et autres fournisseurs
  • Registre d'EIPD (Article 35) — Documente les résultats des EIPD
  • Procédure de réponse et de notification en cas de violation de données (Articles 4, 33 et 34) — Décrit les procédures à effectuer avant, pendant et après une violation de données
  • Registre des violations de données (Article 33) — Enregistre toutes les violations de données
  • Formulaire de notification de violation de données à l'Autorité de contrôle (Article 33) — Le formulaire que vous utilisez pour notifier à l'Autorité de contrôle une violation de données
  • Formulaire de notification de violation de données aux sujets de données (Article 34) — Le formulaire que vous utilisez pour notifier aux sujets de données une violation impliquant leurs informations privées
  • Inventaire des activités de traitement (Article 30) — Un inventaire qui doit être maintenu par le responsable du traitement
  • Description du poste de Data Protection Officer (Articles 37, 38 et 39) — Détaille les responsabilités de votre DPO (nécessaire uniquement si vous êtes tenu d'avoir un DPO)

Créez et publiez des documents publics.

Le RGPD exige que les organisations rendent les informations suivantes publiques dans un langage clair et facile à comprendre :

  • Politique de confidentialité
  • Politique de conservation des données
  • Conditions de transfert de données vers d'autres pays
  • Politique de protection des données
  • Informations de contact, y compris comment contacter votre DPO si vous en avez un
  • Conditions d'utilisation
  • Politique de paiement & politique de cookies

9. Formez vos employés.

Former votre personnel est une règle clé de la conformité au RGPD. Suivre les réglementations n'est pas seulement une question informatique. Vous aurez besoin d'une stratégie de communication et de formation complète qui inclut tout le monde à tous les niveaux de l'entreprise.

De plus, la formation ne doit pas être considérée comme une proposition unique et définitive. Elle devrait commencer au sommet de l'entreprise avec un accent sur la création d'une culture de conformité. La formation en ligne devrait être complétée par une éducation spécifique basée sur le rôle visant les responsabilités et les zones de risque de chaque département.

10. Effectuez régulièrement une analyse des écarts et une remédiation.

Une analyse des écarts évaluera vos mesures actuelles par rapport aux normes de conformité. Elle vous donnera une compréhension plus approfondie des étapes à suivre pour mettre en œuvre les processus, contrôles et autres mesures nécessaires pour garantir la conformité.

Une GDPR compliance checklist peut fournir un point de départ. Une autre manière d'obtenir des informations sur les domaines qui pourraient ne pas être conformes dans votre organisation est de surveiller pourquoi d'autres entreprises sont sanctionnées pour non-conformité.

Amendes pour violations du GDPR

Le non-respect du RGPD peut entraîner de lourdes amendes : jusqu'à 24,1 millions de dollars ou 4 pour cent du chiffre d'affaires mondial annuel de l'entreprise, selon le montant le plus élevé.

Il existe des circonstances atténuantes et aggravantes qui affectent le montant de l'amende. Les violations intentionnelles sont plus sévèrement sanctionnées que les négligentes. Signaler les violations dès que possible et coopérer avec les autorités sont des circonstances atténuantes. Les violations plus graves, telles que celles qui concernent les droits et le consentement des personnes concernées, sont sujettes à des amendes plus élevées.

Voici certaines des amendes les plus élevées imposées à ce jour :

  • H&M Clothing— Cette entreprise suédoise a été condamnée à une amende de 41 millions de dollars pour avoir enregistré des réunions d'employés et mis les enregistrements à la disposition de plus de 50 responsables. Les données sensibles obtenues à partir de ces enregistrements étaient utilisées pour évaluer les performances des employés et prendre d'autres décisions d'emploi.
  • Google— Google a été condamné à une amende de 56,6 millions de dollars pour des violations liées à la manière dont ils fournissaient des avis de confidentialité et comment ils demandaient le consentement pour utiliser les données personnelles pour de la publicité personnalisée et d'autres traitements de données. Cette amende aurait pu être évitée si Google avait fourni plus d'informations et donné aux personnes concernées plus de contrôle sur l'utilisation de leurs informations. L'appel de Google n'a pas abouti.
  • Amazon — L'amende de 877 millions de dollars d'Amazon est la plus élevée jamais enregistrée, avec un facteur de 15. L'infraction était liée au consentement des cookies, et ce n'était pas la première fois qu'Amazon était sanctionné pour cela, ce qui est probablement une des raisons pour lesquelles l'amende était si lourde. La meilleure façon d'éviter les amendes liées aux cookies est d'obtenir un consentement libre, informé et clair avant d'installer des cookies sur l'appareil d'un utilisateur.

Comment Netwrix peut-il aider ?

Avec les solutions Netwrix, vous pouvez atteindre, maintenir et prouver la conformité au RGPD avec moins d'effort et de dépenses aujourd'hui. Produits Netwrix :

Foire aux questions

1. Qu'est-ce qui est requis pour la conformité au RGPD ?

Le RGPD exige que les entreprises mettent en œuvre des mesures pour protéger la vie privée des données personnelles des résidents de l'UE.

2. Comment prouvez-vous que vous êtes conforme au RGPD ?

Vous devez fournir des documents spécifiques qui démontrent que vous adhérez aux principes de protection des données, réalisez des AIPD selon les besoins, avez les rôles de travail nécessaires attribués, êtes prêt à signaler les violations de sécurité rapidement, et ainsi de suite.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Mike Tierney

Ancien vice-président du Succès Client

Ancien VP of Customer Success chez Netwrix. Il possède un parcours diversifié construit sur 20 ans dans l'industrie du logiciel, ayant occupé les postes de PDG, COO et VP Product Management dans plusieurs entreprises axées sur la sécurité, la conformité et l'augmentation de la productivité des équipes informatiques.

En savoir plus sur ce sujet

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité