Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesListe de contrôle
Liste de contrôle pour la conformité au RGPD

Liste de contrôle pour la conformité au RGPD

Si votre organisation collecte ou traite les données personnelles des résidents de l'Union européenne, elle est soumise au Règlement Général sur la Protection des Données (RGPD). Le RGPD énumère des exigences spécifiques tant pour les data controllers (organisations qui déterminent les finalités et les moyens du traitement des données personnelles) que pour les data processors (entreprises responsables du traitement des données pour le compte d'un contrôleur), et les pénalités pour non-conformité sont lourdes.

Cet article fournit des listes de contrôle pour vous aider à atteindre et maintenir la conformité au RGPD. Vous pourriez également vouloir consulter un conseil juridique professionnel.

Liste de vérification pour bien démarrer

Votre liste des exigences principales du RGPD devrait, au minimum, inclure ce qui suit :

  • Embauchez un délégué à la protection des données ou désignez une personne pour assumer le rôle de DPD — Un délégué à la protection des données est responsable de superviser la stratégie de protection des données d'une entreprise et de sa mise en œuvre. Le rôle de DPD est obligatoire si une « catégorie spéciale » de données est traitée ou si le traitement des données est effectué par une autorité publique. Si votre entreprise n'a pas de bureau dans l'UE, vous devez nommer un représentant officiel dans l'UE.
  • Réalisez une évaluation d'impact sur la protection des données (DPIA) — Inventoriez tous vos processus impliquant la collecte, le stockage, l'utilisation ou la suppression de données personnelles, puis évaluez la valeur ou la confidentialité des informations et les dommages ou détresse que les individus pourraient subir en cas de violation de la sécurité. Utilisez les résultats pour aider à choisir des mesures de sécurité, des politiques et des procédures appropriées. N'oubliez pas que tous les processus doivent être conçus avec la protection de la vie privée à l'esprit, et la confidentialité doit être appliquée par défaut chaque fois que de nouveaux produits ou services sont mis à disposition du public.
  • Définissez votre gouvernance des données plan — La gouvernance des données implique de rassembler les personnes, les processus et les technologies nécessaires pour gérer de manière cohérente et appropriée les données dans toute l'entreprise.
  • Obtenez le consentement pour la collecte, la conservation et l'effacement des données — La conformité au RGPD exige de garantir la transparence et de donner aux consommateurs plus de contrôle sur leurs données.
  • Documentez vos techniques de conformité, d'audit et de tenue de registres — Les responsables du traitement des données doivent être capables de prouver que leur organisation respecte les réglementations du RGPD. En particulier, assurez-vous d'avoir une base légale documentée pour le stockage et le traitement des données.
  • Préparez-vous aux violations de données — Les responsables du traitement des données sont tenus d'informer l'autorité de contrôle dans les 72 heures suivant la prise de conscience d'une violation de données, tandis que les sous-traitants doivent notifier les responsables du traitement concernés pour chaque violation de données. Si une violation présente un risque élevé pour les personnes concernées, elles doivent également être informées, à moins que des mesures de protection efficaces, telles que la pseudonymisation ou l'anonymisation complète, n'étaient en place.
  • Documentez vos mesures de protection des données — Les auditeurs voudront voir quels contrôles vous avez mis en place.
  • Maintenez une liste à jour des activités de traitement. Si votre organisation compte au moins 250 employés ou participe à des traitements de données à haut risque, vous devrez tenir une liste de vos activités de traitement que vous pourrez présenter aux régulateurs à tout moment.

Liste de contrôle pour l'audit GDPR

Votre liste de vérification finale d'audit dépendra de divers facteurs, y compris l'échelle de vos opérations, la quantité et les types de données que vous collectez, ainsi que les résultats de votre évaluation d'impact sur la protection des données. Cependant, voici les points essentiels à faire et les questions à poser alors que vous œuvrez à la conformité avec le RGPD :

  • Documentez les données personnelles que vous collectez — Quelles données collectons-nous ?
  • Minimisez ce que vous collectez — Avons-nous une fonction pour chaque donnée ?
  • Comprenez vos flux de données — Où stockons-nous les données ?
  • Choisissez des mesures de sécurité renforcées — Comment protégeons-nous et documentons-nous les données ?
  • Affinez votre politique de rétention des données — Combien de temps conservons-nous les données ?
  • Évaluer les risques — Avons-nous des mesures adéquates en place pour protéger les données de toutes les sources, y compris les courriels et les formulaires ?
  • Ayez une politique de sécurité interne — Que doivent savoir les membres de l'équipe pour assurer la sécurité des données ? Y a-t-il des mesures qu'ils doivent prendre pour maintenir les niveaux de sécurité ?
  • Préparez-vous aux demandes d'accès aux données des personnes concernées (DSARs) — Quel est le processus pour honorer une demande de suppression, de modification ou d'accès aux données que nous stockons ? (Les droits des personnes concernées et vos obligations correspondantes sont détaillés ci-dessous.)

Liste de contrôle des droits des personnes concernées

Assurez-vous de respecter les huit droits suivants des sujets de données :

  • Droit à l'information — Les individus peuvent exiger de vous que vous fournissiez des informations claires et concises sur ce que vous faites de leurs données personnelles.
  • Droit d'accès — Tout sujet de données peut exiger que vous fournissiez une copie de ses données personnelles, ainsi que des informations supplémentaires pour l'aider à comprendre comment et pourquoi vous utilisez ses données et vérifier que vous le faites de manière légale.
  • Droit de rectification— Les individus ont le droit de faire corriger les données personnelles inexactes. Selon les finalités du traitement des données, les individus peuvent également avoir le droit d'exiger que les données personnelles incomplètes soient complétées (par exemple, en ajoutant une déclaration supplémentaire).
  • Droit à l'effacement (droit à l'oubli) — Les individus ont le droit de faire effacer leurs données personnelles. Ce droit n'est pas absolu et s'applique uniquement dans certaines circonstances.
  • Droit de restreindre le traitement— Le RGPD accorde aux individus le droit de limiter la manière dont une organisation peut utiliser leurs données.
  • Droit à la portabilité des données— Les individus ont le droit de recevoir les données personnelles qu'ils ont fournies à un responsable du traitement dans un format structuré, couramment utilisé et lisible par machine. Ils peuvent également demander que le responsable du traitement transmette ces données directement à un autre responsable du traitement.
  • Droit de s'opposer au traitement — Les individus peuvent s'opposer au traitement de leurs données personnelles à tout moment, et le responsable du traitement doit alors cesser de les traiter.
  • Droits concernant la prise de décision automatisée lors du traitement des données personnelles — Les individus ont le droit de ne pas être soumis à des décisions qui sont uniquement basées sur un traitement automatisé (tel que le profilage) ayant un effet juridique sur eux.

Vous devez faciliter l'exercice de ces droits aux personnes concernées, soit en fournissant une page d'auto-service avec des boutons et des options clairs, soit par demande directe à partir d'autres formes de contact.

Liste de vérification de divulgation

Rendez les informations suivantes publiques dans un langage clair et facile à comprendre :

  • Politique de confidentialité — Expliquez votre approche de la confidentialité des données et de la Data Security Posture Management. Détaillez quelles informations personnelles et non personnelles vous collectez et pourquoi.
  • Politique de conservation des données — Assurez-vous qu'il est clair que vous ne conservez jamais les données plus longtemps que nécessaire aux fins pour lesquelles elles ont été collectées. Veillez à supprimer automatiquement ou à anonymiser les données personnelles qui ne sont plus nécessaires.
  • Conditions de transfert de données vers d'autres pays — Expliquez dans quelles conditions vous autorisez les transferts internationaux de données personnelles.
  • Politique de protection des données — Expliquez comment les données personnelles seront protégées conformément au RGPD.
  • Coordonnées — Fournissez l'adresse légale de votre organisation, ainsi que les coordonnées de votre délégué à la protection des données (si vous en avez un).
  • Conditions d'utilisation — Si votre système ne collecte pas intentionnellement de données sur ou concernant les enfants, spécifiez ce qui suit en gras : « Ce site Web est uniquement disponible pour les individus âgés d'au moins 16 ans. » Sinon, vous devez ajouter une case à cocher à votre page d'inscription (comme décrit ci-dessous) et obtenir le consentement parental pour les utilisateurs de moins de 16 ans.
  • Politique de paiement & politique de cookies — Précisez comment les paiements sont traités et quels cookies le système établit et utilise.

Liste de contrôle de la page d'inscription

Gardez à l'esprit les exigences suivantes lors de la conception de votre page d'inscription :

  • Le nombre de champs doit être minimal et raisonnable.
  • Il doit être clair pour les personnes concernées à quoi elles consentent. Vous devez leur donner un contrôle granulaire sur les matériaux marketing qu'elles reçoivent de votre part, et ne pas simplement regrouper tous les consentements dans une seule case à cocher. Vous avez besoin d'une case à cocher séparée si vous souhaitez permettre aux utilisateurs de s'abonner à une liste de diffusion.
  • Il est obligatoire que les utilisateurs acceptent explicitement vos conditions d'utilisation et votre politique de confidentialité.

Liste de vérification des documents d'audit

Les documents suivants sont requis lors d'un contrôle de conformité au RGPD :

  • Politique de confidentialité
  • Politique de protection des données personnelles
  • Inventaire des activités de traitement
  • Politique de réponse aux incidents de sécurité
  • Formulaire de notification de violation de données à l'autorité de contrôle
  • Formulaire de notification de violation de données aux sujets des données
  • Politique de conservation des données
  • Les politiques suivantes peuvent être combinées dans une seule politique de gouvernance de l'information :
  • Politique d'élimination des données
  • Politique de sauvegarde et de continuité des activités
  • Politique de contrôle d'accès au système
  • Procédures de SLA et d'escalade
  • Politique de contrôle cryptographique
  • Politique de reprise après sinistre et de continuité des activités
  • Normes de codage et procédure de déploiement
  • Politique et processus d'emploi
  • Politique de résiliation d'utilisateur
  • Politique d'audit
  • Politique d'évaluation des risques
  • Politique de sensibilisation et de formation

Listes de vérification pour la protection des données

Le RGPD ne spécifie pas de contrôles de sécurité particuliers pour la conformité, mais il exige que vous respectiez le principe de protection des données dès la conception et par défaut. Les listes de contrôle suivantes vous aideront à mettre en œuvre des mesures et pratiques techniques et organisationnelles appropriées.

Liste de contrôle de la protection des données : Mesures techniques

Liste de vérification de la protection des données : Mesures organisationnelles

  • Diligence raisonnable — Vos mesures de sécurité sont vaines si vous transmettez des données à des tiers qui ne peuvent pas garantir la protection des données. Vérifier minutieusement vos fournisseurs et prestataires de services est aussi important que les audits internes et les rapports.
  • Révisions & audits — Pour garantir l'efficacité de vos politiques et procédures, vous devriez réaliser des révisions et audits réguliers. Avoir des modèles pour ces révisions peut être utile.
  • Formation — Vous devez vous assurer que vos employés et contractants sont conscients des risques juridiques et possèdent les compétences appropriées.
  • Rapports — Les rapports réguliers à la direction sont essentiels pour la responsabilité à l'échelle de l'entreprise, ainsi que pour obtenir un financement adéquat et d'autres ressources pour la conformité au GDPR.

Partager sur

Ressources associées

Approfondissez avec nos ressources associées

Centre de ressources
eBook

Faciliter la prévention de la perte de données avec les solutions Netwrix

Prévention des pertes de données
eBook

Déploiement de logiciels sur Windows : douloureux mais pas nécessaire

Endpoint Management