Vendredi 20 juil 2018
Les plaintes déposées auprès de la CNIL visent fréquemment des entreprises accusées de recueillir les données de leurs utilisateurs de manière illégale et malhonnête. Avec des méthodes critiquables comme l’utilisation de cases pré-cochées, ainsi que les bandeaux indiquant que l’utilisation du site vaut acceptation. La CNIL enregistre une multiplication des plaintes. Dans cet article, Quietic vous donne ses conseils pour en conformité avec le RGPD.
En collaboration avec des experts juridiques il faut s’assurer d’avoir les bons systèmes et procédures en place pour assurer la conformité. Contrairement aux réglementations précédentes, le RGPD inclut des expertises spécifiques aux MSP et autres « gestionnaires de données ».
Le RGPD remplace les réglementations qui variaient d’un pays membre de l’UE à l’autre, de sorte qu’il y a forcément une certaine confusion quant aux données couvertes. Il faut identifier les données couvertes, dont certaines peuvent ne pas être immédiatement évidentes. Les données personnelles couvertes par le RGPD incluent des informations qui peuvent être utilisées pour identifier une personne, y compris les adresses IP, les cookies, les ID d’appareils mobiles et les données de localisation.
S’appuyer sur les connaissances d’un expert pour s’informer sur ce que couvre la loi et les responsabilités induites. Celui-ci va s’assurer qu’il dispose de la technologie et de l’expertise pour aider les clients à se mettre en conformité. Les clients n’ont pas besoin d’embaucher un professionnel de la sécurité ou un agent de conformité coûteux parce qu’un MSP par exemple est équipé pour le faire.
Le RGPD ne demande pas explicitement de surveillance, bien que les organisations doivent mettre en œuvre des contrôles de sécurité adéquats. Un moyen efficace d’afficher les contrôles et d’éviter une amende en cas d’incident consiste à se reporter au journal des événements d’un outil de surveillance. La surveillance de la sécurité 24h / 24 est donc un service essentiel dont il faut disposer afin de rester fidèles au RGPD.
La gestion de l’environnement de sécurité à partir d’un tableau de bord centralisé va de pair avec la surveillance. Les deux sont conformes à l’exigence de la RGPD selon laquelle les organisations doivent maintenir un cadre de conformité en matière de confidentialité. Les contrôles centralisés facilitent la gestion de l’environnement et permettent d’accéder aux données de journal et de les analyser si un fournisseur de services de messagerie doit prouver la conformité d’un client.
Le RGPD exige que les organisations qui subissent une violation de sécurité le signalent aux autorités compétentes dans les 72 heures suivant la découverte et notifie les sujets concernés « sans retard injustifié ». Les alertes en temps réel peuvent faire la différence. Une plate-forme de sécurité avec une capacité d’alerte en temps réel permet non seulement de déclencher immédiatement une réponse à l’attaque, mais aussi d’émettre les notifications requises.
La compromission des données et des systèmes ne prend que quelques minutes. Les entreprises ont donc besoin d’une protection avancée contre les menaces dangereuses et à action rapide. Les outils de détection des menaces doivent capturer et intégrer des données sur des menaces connues et non détectées auparavant. Cela nécessite des capacités d’analyse de comportement finement affûtées, la collecte et l’interprétation de renseignements sur les menaces pour les identifier rapidement, initier une réponse si nécessaire, et assurer la conformité aux exigences strictes du RGPD.
Lorsqu’une violation est détectée, un fournisseur de services de messagerie doit intervenir sans délai. Certaines infections peuvent se propager en un clin d’œil, de sorte qu’une identification et une analyse rapides des menaces sont absolument essentielles. Comme indiqué précédemment, le RGPD exige que certaines mesures soient prises, y compris la notification aux utilisateurs et aux régulateurs concernés. Il ne faut pas perdre de temps pour signaler la nature de la violation, quelles données ont été compromises, quels utilisateurs sont concernés et identifier quelles mesures à prendre pour atténuer l’attaque.
La meilleure réponse en cas d’incident est une réponse planifiée. Il faut éviter de créer un plan tout en répondant à un incident. Ce type de plan doit couvrir les actions à mener suite à une violation, qui sera en charge de ces actions, à qui s’adresser, comment maintenir l’activité et si d’autres sites seront nécessaires. Chaque étape du plan est pensée, documentée, communiquée aux parties prenantes et testée. Il faut mener des exercices périodiques pour s’assurer que chaque acteur comprend ce que l’on attend de lui.
Le Règlement Général pour la Protection des Données s’est heurté à plusieurs conséquences à sa mise en application. Multiplication des plaintes, nouvelles arnaques avec des sites inaccessibles, il a énormément fait bouger l’univers du web.
Cependant, il a également contribué à une sensibilisation du grand public autour de la thématique de la protection des données personnelles. Le RGPD a même eu une influence à l’étranger : la Californie mettra en place sa propre loi, le California Consumer Privacy Act, le 1er janvier 2020.