Transférer des données personnelles selon le RGPD

Lorsqu’une entreprise transfert des données, elle compromet inévitablement leur sécurité dans une certaine mesure. En effet, les données ne sont plus protégées par des barrières physiques telles qu’un tiroir verrouillé dans les locaux sécurisés d’une entreprise et les données risquent d’être perdues, volées ou piratées durant le transfert.

Malheureusement les entreprises ne peuvent pas éliminer les risques de perte de données à 100%. La problématique devient donc de trouver les bonnes méthodes afin de limiter les dommages une fois les données exposées.

Ceci devient une préoccupation urgente avec la mise en application du Règlement Général Européens sur la Protection des Données (RGPD) prévue pour le 25 mai 2018. Le RGPD renforce les droits des résidents européens vis-à-vis de leurs données personnelles et s’applique à toute entreprise traitant ce type de données et ce où qu’elle soit basée dans le monde.

 

Transferts de données

Bien que les transferts de données soient souvent risqués, ils sont souvent nécessaires. La tentative du gouvernement américain d’éliminer l’utilisation de clés USB a échoué étant jugée trop compliquée. Les périphériques amovibles sont particulièrement utiles afin de déplacer des fichiers et conserver des sauvegardes.

Le RGPD indique que les personnes concernées bénéficient du droit à la portabilité, mettant en avant l’importance des périphériques amovibles. Ce droit permet aux individus d’obtenir et de réutiliser leurs données personnelles afin de répondre à leurs propres besoins. Cela s’applique :

  • Aux données personnelles fournies par un individu à un responsable du traitement ;
  • Lorsque le traitement est basé sur le consentement de la personne concernée ou pour l’exécution d’un contrat ; et
  • Lorsque le traitement est géré par voie automatisée.

Toutes les données personnelles doivent être transférées dans un format structuré, couramment utilisé et lisible par une machine.

 

Pseudonymisation et cryptage

Le RGPD conseille aux entreprises d’utiliser la pseudonymisation ou le cryptage afin de protéger leurs données. Cela n’empêchera pas les acteurs malveillants d’accéder aux informations, mais leur compliquera la tâche. Selon le Breach Level Index de Gemalto, seulement 4% des violations de données ont impliqué des données cryptées en 2013.

La pseudonymisation masque les données en remplaçant les informations identifiables par des identifiants artificiels. Bien qu’il soit essentiel de protéger les données – ceci est mis en avant à 15 reprises dans le RGPD – et que cela permette d’aider dans les domaines de la confidentialité et de la sécurité des données personnelles, la pseudonymisation a ses limites, et c’est pourquoi le RGPD mentionne également le cryptage.

Le cryptage permet également de masquer les données en remplaçant les identifiants. Mais, si la pseudonymisation permet à toute personne ayant accès aux données de visualiser une partie des données, le cryptage ne permet qu’aux utilisateurs autorisés de visualiser l’ensemble des données.

La pseudonymisation et le cryptage peuvent être utilisés simultanément ou séparément.

 

Rendre le cryptage effectif

Ni le crypytage ni la pseudonymisation ne requièrent de connaissances techniques afin de les mettre en œuvre. La difficulté pour les entreprises sera de mettre en place les politiques et procédures de sécurité adéquates et de sensibiliser les salariés à leurs obligations.

Notre formation en ligne de sensibilisation du personnel au RGPD vous permettra de présenter les exigences de conformité du RGPD à vos employés. Elle couvre le champ d’application du règlement, les principaux rôles de protection des données, les principes de collecte et de traitement des données personnelles et comment répondre aux exigences au sein de l’entreprise.

Cette formation est adaptée à tout employé et il est essentiel que tous les salariés de votre entreprise connaissent et suivent les bonnes pratiques afin de maintenir un bon niveau de sécurité.

En savoir plus sur notre formation de sensibilisation du personnel au RGPD >>

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.