Pixabay License Free for commercial use – No attribution required
C’est dans l’optique de protéger les citoyens européens de la divulgation de leurs informations personnelles qu’une loi a été instaurée par l’Union européenne : celle du GDPR en anglais (General Data Protection Regulation) ou RGPD en français (règlement général sur la protection des données). Elle établit un certain nombre de principes et de recommandations à suivre.
Le GDPR / RGPD : qu’est-ce que c’est ?
Le GDPR comme son nom l’indique est une loi en vigueur pour la protection des données personnelles des citoyens. Par données personnelles, nous faisons allusion à un ensemble d’informations qui indexent directement une personne (photos, vidéos, nom …). En effet, pour promouvoir leurs services et produits, de nombreuses entreprises utilisent sans autorisations les informations intimes de certaines personnes. D’où l’apport du GDPR qui protège ces informations et sanctionne les auteurs de ses divulgations. Voilà pourquoi pour toute adhésion ou inscription d’ordre numérique, une autorisation est demandée afin de vous envoyer des mails ou autres types de documents.
Grâce au GDPR, aucun site web ne peut accéder à vos comptes personnels ou utiliser une de vos données sans votre accord. Cette législation sur la protection de données a été initiée en 2018 et est valable pour tous les pays de l’Union européenne. Son objectif est de limiter les violations de données personnelles et de faire valoir les droits des citoyens européens. Il est important de noter qu’en cas d’infraction, les amendes peuvent aller jusqu’à 2 millions d’euros en fonction de sa gravité. Quels sont ses principes ?
Quels sont les principes du GDPR/ RGPD ?
- Le principe de consentement
Avant tout projet impliquant les données personnelles d’autrui, l’entreprise ou l’administrateur du site doit adresser une demande d’autorisation à ce dernier sans quoi il pourra être victime de poursuites. De plus, l’entreprise a le devoir de donner au citoyen plus de contrôle sur ses données intimes.
- Le droit à l’effacement
Ayant donné son accord pour l’utilisation de ses informations privées, celui-ci a le droit de réclamer leurs suppressions en présentant des motifs valables à l’appui. En retour, l’administrateur du site a le devoir de les effacer dans de brefs délais.
- Le droit à la portabilité des données privées
Selon le règlement, l’auteur des informations privées a le droit de recevoir sous une forme lisible et authentique les informations le concernant.
- En cas de fuite de données
En cas de fuite de données, le règlement voudrait que l’autorité nationale de la protection en cas de violations de données soit informée par les administrateurs du site dans les brefs délais. Par ailleurs, en cas de piratage d’informations personnelles, l’auteur des informations doit immédiatement être contacté pour prévenir de potentiels risques.
- Le principe de responsabilisation des entreprises et administrateurs de sites web
Comme son nom l’indique, ce principe a pour but de responsabiliser les entreprises sur les dangers liés à la manipulation des informations personnelles d’autrui et sur les sanctions qu’elles peuvent subir.
GDPR et cyber sécurité
Bien qu’une partie de la GDPR se concentre sur des aspects organisationnels et juridiques (mise à jour des contrats, privacy policy,..), la cyber sécurité joue un rôle clé afin de mettre les moyens nécessaires en œuvre pour protéger efficacement les données concernées. Ces aspects techniques passent souvent par les étapes suivantes:
- Analyse de risques et/ou DPIA
- Documentation des risques « risk management »
- Exercices de scanning de vulnérabilités et pentests
- Utilisation de solutions PAM (Privileged Access Management) afin de tracer précisément qui effectue quelle tâches sur les données
- Détection d’incidents (EDR et solutions SIEM)
- Encryption, anonymisation et pseudonymisation des données
One thought on “GDPR et cyber sécurité”