Comment conformer vos bases de données au RGPD

Si votre entreprise collecte les données personnelles de résidents européens, le Règlement Général Européen sur la Protection des Données (RGPD) vous concerne. Le RGPD sera mis en application dans moins de 3 mois, vous devrez donc travailler rapidement, si vous n’êtes pas encore conforme. Un des principaux aspects de mise en conformité avec le RGPD implique la gestion des bases de données puisque qu’elles contiennent surement la plupart des données personnelles que vous conservez.

Les auditeurs de bases de données auront besoin de connaissances approfondies dans le domaine de la protection des données et du RGPD. Nos blogs précédents ont couvert une grande partie de ce que vous devez savoir sur le RGPD, y compris les raisons légales du traitement (dont le consentement), les demandes d’accès des personnes concernées et la réalisation d’analyses d’impact sur la protection des données. Dans ce blog, nous mettrons en avant une exigence qui devrait constituer le fondement des projets de mise en conformité des auditeurs de bases de données : l’approche de confidentialité des données dès la conception (ou privacy-by-design).

La notion de confidentialité des données dès la conception signifie qu’il ne suffit pas d’ajouter des fonctionnalités à vos bases de données afin de répondre aux exigences règlementaires. Vous devrez plutôt repartir sur de bonnes bases et faire de la confidentialité votre principale préoccupation lors de la conception de vos systèmes. Mais comment faire ?

 

Localisez vos données

Vous conservez probablement vos données dans différents endroits, qu’il s’agisse de plusieurs bases de données ou que vous les ayez archivées dans divers endroits. Vous avez peut-être des données conservées sur des systèmes en place ou des sauvegardes dont vous n’avez pas connaissance. Vous devrez prendre tout cela en compte, et donc cartographier vos données via un audit de flux de données.

La cartographie des données vous permettra d’identifier les données conservées par votre entreprise ainsi que leur cheminement au sein de l’organisation ou vers les fournisseurs et autres tierce-parties. Vous pourrez également analyser les méthodes de traitement des données les plus efficaces et identifier les utilisations imprévues ou involontaires.

Une cartographie des données doit identifier les éléments clés suivant :

  • Données (noms, adresses email, dossiers)
  • Formats (papier, en ligne ou bases de données)
  • Méthodes de transfert (poste, téléphone, interne/externe)
  • Localisation (Bureau, Cloud, tierces parties)

Elle devrait également indiquer quelles personnes ont accès aux données et qui en est responsable.

La cartographie des données peut sembler compliquée, mais ce n’est pas nécessairement le cas. En effet, avec les bons outils un et peu de préparation le processus peut être relativement simple.

Pour plus de conseils sur la cartographie des données, consultez notre webinar gratuit (en Anglais) : Conducting a data flow mapping exercise under the GDPR.

Notre webinar comprend une démo de notre outil de cartographie des données.

 

Limitez l’accès à vos données

La mise en place de contrôles d’accès ayant pour but de vous assurer que seules les personnes autorisées ont accès aux données personnelles vous permettra de réduire les risques de violations de données – y compris le vol, la destruction accidentelle ou non-autorisée, la perte, l’altération, ou la divulgation de données personnelles.

Limiter l’accès aux données personnelles à un nombre limité de personne permet d’éviter de nombreux problèmes. Les contrôles d’accès vous permettent de gérer qui a accès à quelles données, en veillant à ce que personne ne puisse voir, modifier ou supprimer des données qui ne devraient pas l’être.

Vous devriez également protéger vos données personnelles en utilisant la pseudonymisation et/ou le cryptage.

La pseudonymisation masque les données en remplaçant les données identifiables par d’autres données artificielles. Bien qu’il s’agisse d’un point clé du RGPD – mentionné à 15 reprise – et que cela puisse aider à protéger la confidentialité et la sécurité des données personnelles, la pseudonymisation a ses limites. C’est pourquoi le RGPD recommande également le cryptage.

Le cryptage masque également les données en remplaçant les données identifiables. Mais, là où la pseudonymisation permet à toute personne ayant accès aux données de voir une partie de ces données, le cryptage ne permet qu’aux utilisateurs autorisés d’accéder à la totalité des données.

La pseudonymisation et le cryptage peuvent être utilisés simultanément ou séparément.

Vous souhaitez en savoir plus sur le RGPD ? Inscrivez-vous à l’une de nos formations.

Formation certifiée d’introduction au RGPD >>

Formation certifiée de spécialisation au RGPD >>

Bénéficiez de 20% de réduction en réservant nos deux formations >>

 

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.