Gérez le Data Privacy Framework UE-États-Unis avec Kiteworks

La présidente Ursula von der Leyen a déclaré que ce nouveau cadre renforce la confiance des citoyens dans la sécurité des données et consolide les liens économiques entre l’UE et les États-Unis. Les entreprises américaines peuvent adhérer au cadre en s’engageant à respecter un ensemble détaillé d’obligations en matière de confidentialité, garantissant la continuité de la protection lors du partage de données avec des tiers. Les citoyens européens disposent de mécanismes de recours si leurs données sont mal gérées par des entreprises américaines, notamment une résolution indépendante des litiges et un panel d’arbitrage. De plus, le cadre juridique américain prévoit des garanties pour l’accès aux données par les autorités publiques américaines, en particulier pour l’application du droit pénal et la sécurité nationale, limité à ce qui est strictement nécessaire. Les garanties américaines faciliteront les flux transatlantiques de données de manière générale, s’étendant à d’autres outils de transfert comme les clauses contractuelles types et les règles d’entreprise contraignantes. Cette décision marque une étape importante pour promouvoir des flux de données sécurisés entre l’UE et les États-Unis, offrant une sécurité juridique aux entreprises des deux côtés et réaffirmant des valeurs communes.

Adoptez des mesures de protection des données personnelles en toute sécurité

Pour être conforme au Cadre de protection des données UE-États-Unis, les organisations doivent respecter certains standards de sécurité, et toute organisation qui crée, conserve, utilise ou diffuse des données personnelles doit prendre des mesures raisonnables et appropriées pour les protéger contre la perte, l’utilisation abusive, l’accès non autorisé, la divulgation, la modification et la destruction, en tenant compte des risques liés au traitement et de la nature des données personnelles. Kiteworks est une solution de référence pour les organisations souhaitant se conformer à la décision d’adéquation UE-États-Unis.

Elle garantit la sécurité des données grâce au chiffrement AES, en transit et au repos, avec un chiffrement 256 bits. Les fichiers sont protégés lors du transfert entre serveurs via SSL/TLS et chiffrement AES. Deux couches de chiffrement, dont le chiffrement de disque AES-256 bits validé FIPS 140-2 et le chiffrement individuel des fichiers, renforcent la protection des données. Kiteworks s’intègre parfaitement avec les solutions DLP, permettant des restrictions de partage basées sur le contenu. Les options d’authentification telles que l’intégration SAML SSO et l’authentification à deux facteurs renforcent la sécurité. Il s’agit de la seule plateforme autorisée FedRAMP pour le partage de fichiers, le transfert de fichiers géré et les données e-mail, conforme aux standards tels que CMMC 2.0 et HIPAA. Les autorisations granulaires, le chiffrement et les journaux d’audit préviennent la perte, l’utilisation abusive, l’accès non autorisé et la divulgation. Les fonctions de Kiteworks garantissent l’intégrité, la disponibilité et la confidentialité des données, facilitant ainsi la conformité.

Informer clairement les personnes lors de la collecte de données personnelles et garantir transparence et protection lors du consentement

Le cadre prévoit également plusieurs exigences de traçabilité concernant l’information, le choix, la responsabilité en cas de transfert ultérieur, l’accès, le recours, l’application et la responsabilité. Pour être conforme à cette décision d’adéquation, les organisations doivent informer les personnes concernées dans un langage clair et visible dès la première demande de fourniture de données personnelles à l’organisation ou dès que possible par la suite. En accord avec le cadre, Kiteworks propose des formulaires web sécurisés et des mécanismes de collecte de données permettant d’obtenir le consentement explicite des utilisateurs. Ces formulaires sont personnalisables pour préciser la finalité de la collecte, l’utilisation des données et l’implication de tiers.

Selon le cadre, une organisation doit offrir aux personnes la possibilité de choisir si leurs données personnelles peuvent être divulguées à un tiers ou utilisées à des fins différentes de celles pour lesquelles elles ont été initialement collectées ou ultérieurement autorisées par la personne concernée. Pour les informations sensibles (c’est-à-dire les données personnelles révélant l’état de santé, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale ou la vie sexuelle), les organisations doivent obtenir un consentement exprès et explicite si ces informations doivent être divulguées à un tiers ou utilisées à d’autres fins que celles initialement prévues ou ultérieurement autorisées par le biais du choix d’adhésion. Kiteworks s’aligne parfaitement sur l’accent mis par le cadre UE-États-Unis sur le contrôle des données. Il facilite la conformité en proposant des formulaires web sécurisés pour la collecte du consentement explicite et la personnalisation des données. Les utilisateurs peuvent accéder et transférer leurs données personnelles de manière sécurisée vers d’autres entités, conformément à l’esprit du cadre. Le stockage sécurisé, les journaux d’audit et le reporting de conformité de Kiteworks répondent aux exigences de sécurité des données. La fonction de reporting bénéficie aussi bien aux utilisateurs finaux qu’aux administrateurs, en affichant les activités des utilisateurs via la console d’administration et l’application web Kiteworks. Cette solution globale permet aux organisations de répondre aux exigences complexes de contrôle des données du cadre tout en garantissant aux individus le contrôle de leurs données personnelles.

Les organisations souhaitant respecter le cadre doivent également permettre aux personnes d’accéder aux données personnelles les concernant détenues par l’organisation et de corriger, modifier ou supprimer ces données si elles sont inexactes ou ont été traitées en violation des principes d’Information et de Choix. Kiteworks offre un support solide pour les droits d’accès individuels, permettant aux utilisateurs non seulement d’accéder à leurs données personnelles, mais aussi de comprendre comment leurs données sont traitées. La plateforme améliore la portabilité des données, offrant aux utilisateurs un moyen sécurisé d’accéder, de transférer et de télécharger leurs informations personnelles. En respectant les autorisations d’accès pertinentes et en mettant en œuvre le verrouillage sécurisé et la gestion des versions des dépôts, Kiteworks garantit aux utilisateurs une interaction maîtrisée et sécurisée avec leurs données.

Assumer la responsabilité des transferts ultérieurs

Les organisations doivent également assumer la responsabilité des transferts ultérieurs ; pour transférer des données personnelles à un tiers agissant en tant que responsable de traitement, elles doivent respecter les principes d’Information et de Choix. Elles doivent aussi conclure un contrat avec le tiers responsable de traitement, stipulant que ces données ne pourront être traitées que pour des finalités limitées et spécifiques, conformément au consentement de la personne concernée, et que le destinataire offrira le même niveau de protection que les principes, en informant l’organisation s’il estime ne plus pouvoir respecter cette obligation. Kiteworks joue un rôle clé dans le respect des principes de contrôle des données du cadre UE-États-Unis. Ce cadre impose une gestion rigoureuse des données personnelles lors de leur transfert à des tiers, qu’ils soient responsables ou sous-traitants. Kiteworks ne se contente pas de soutenir les principes d’Information et de Choix, il aide activement les organisations à s’y conformer. La plateforme propose des formulaires web sécurisés et des mécanismes personnalisables pour la collecte du consentement explicite, garantissant que les personnes comprennent l’utilisation de leurs données et l’implication de tiers.

Kiteworks permet aux organisations de créer des mécanismes d’adhésion, donnant aux utilisateurs la possibilité de fournir activement leurs informations. Des formulaires de consentement détaillés expliquent l’utilisation, le partage et la conservation des données, permettant des choix éclairés. La plateforme prend également en charge les procédures de consentement des mineurs, garantissant le respect des lois applicables.

De plus, Kiteworks renforce la sécurité des données grâce à un modèle d’accès basé sur le principe du moindre privilège. Les administrateurs gèrent finement les accès au niveau individuel et par rôle, renforçant la protection contre les accès non autorisés. Les contrôles de dossiers imbriqués permettent une gestion granulaire du contenu et des autorisations. Des fonctions telles que l’édition en temps réel, l’accès en lecture seule et le téléchargement contrôlé sont modulées selon les rôles et la sensibilité des données. Les administrateurs peuvent mettre en place un blocage de domaine, du géorepérage et des autorisations de fonctionnalités, affinant l’accès selon la localisation et le domaine. En résumé, Kiteworks incarne les principes du cadre et fournit des outils précieux pour une conformité fluide, renforçant le contrôle et la sécurité des données pour les organisations.

Veiller à l’application de la conformité et limiter la responsabilité

Les organisations souhaitant être conformes au cadre doivent mettre en place une protection efficace de la vie privée, incluant des mécanismes robustes pour garantir le respect des principes, des recours pour les personnes affectées par le non-respect des principes, et des conséquences pour l’organisation en cas de non-respect. Au minimum, ces mécanismes doivent inclure des procédures de suivi pour vérifier la véracité des attestations et déclarations faites par les organisations concernant leurs pratiques de confidentialité, ainsi que la mise en œuvre effective de ces pratiques et la gestion des cas de non-conformité. Kiteworks propose une gouvernance avancée qui fournit des rapports de conformité RGPD. Ces rapports aident les organisations à répondre aux exigences du RGPD et collectent automatiquement toutes les informations nécessaires pour les audits. Cela inclut les données sur la collecte, le stockage, l’utilisation et le partage des données personnelles au sein de l’organisation. Ces rapports mettent également en évidence les écarts et les problèmes potentiels de conformité, permettant aux organisations de les corriger avant un audit. Cette approche proactive aide les organisations à maintenir leur conformité et à éviter les sanctions liées au non-respect du RGPD. Tous les événements sont consignés et présentés dans un rapport accessible aux administrateurs applicatifs et systèmes de Kiteworks. Ces administrateurs disposent d’un accès complet aux journaux d’audit de toutes les actions sur le système. Plus largement, les rapports permettent aussi de surveiller les opérations pertinentes et d’évaluer les paramètres de contrôle des règles. Cela permet de s’assurer que les politiques de protection des données de l’organisation sont correctement appliquées et efficaces. Ces rapports de conformité RGPD fournissent également la preuve aux auditeurs que les contrôles et analyses de données ont été appliqués, y compris les contrôles antivirus (AV et ATP), de confidentialité (DLP) et autres menaces potentielles à la sécurité.

Surveillez l’intégrité des données et la limitation des finalités

Pour être conforme à cette décision d’adéquation, les organisations doivent respecter l’intégrité des données et la limitation des finalités. Elles doivent agir en cohérence avec les principes, et les données personnelles doivent se limiter à ce qui est pertinent pour les finalités du traitement. Une organisation ne peut pas traiter des données personnelles d’une manière incompatible avec les finalités pour lesquelles elles ont été collectées ou ultérieurement autorisées par la personne concernée. Kiteworks applique une approche stricte de l’accès utilisateur, veillant à ce que chaque personne ne dispose que des droits strictement nécessaires à son rôle, réduisant ainsi le risque d’utilisation abusive ou accidentelle des données. Les administrateurs disposent d’un contrôle fin sur les accès, la gestion du contenu, la structure et les autorisations. La plateforme permet une collaboration nuancée et l’accès en lecture seule avec filigrane, téléchargement et dépôt à l’aveugle. Ce niveau de contrôle garantit que les utilisateurs n’accèdent qu’aux données essentielles. Kiteworks renforce encore sa sécurité grâce à des fonctions avancées d’audit et de reporting. Les administrateurs bénéficient d’une vision globale de toutes les activités des utilisateurs sur le système, renforçant l’application du principe du moindre privilège. Ce suivi minutieux des actions des utilisateurs protège les données et garantit l’efficacité de cette approche.