Naviguez dans le Data Privacy Framework UE-États-Unis avec Kiteworks

La présidente Ursula von der Leyen a déclaré que ce nouveau cadre renforce la confiance des citoyens dans la sécurité de leurs données et consolide les liens économiques entre l’UE et les États-Unis. Les entreprises américaines peuvent rejoindre ce cadre en s’engageant à respecter un ensemble détaillé d’obligations en matière de confidentialité, garantissant la continuité de la protection lors du partage de données avec des tiers. Les citoyens européens auront accès à des mécanismes de recours si leurs données sont mal gérées par des entreprises américaines, notamment une résolution indépendante des litiges et un panel d’arbitrage. De plus, le cadre juridique américain prévoit des garanties pour l’accès aux données par les autorités publiques américaines, en particulier pour les besoins de la justice pénale et de la sécurité nationale, limité à ce qui est nécessaire. Les garanties américaines faciliteront les flux transatlantiques de données de manière générale, s’étendant à d’autres outils de transfert comme les clauses contractuelles types et les règles d’entreprise contraignantes. Cette décision marque une étape majeure pour promouvoir des flux de données sécurisés entre l’UE et les États-Unis, offrant une sécurité juridique aux entreprises des deux côtés et réaffirmant des valeurs communes.

Adoptez des mesures pour protéger les informations personnelles en toute sécurité

Pour être conforme au Cadre de protection des données UE-États-Unis, les organisations doivent respecter certaines normes de sécurité. Toute organisation qui crée, conserve, utilise ou diffuse des informations personnelles doit mettre en place des mesures raisonnables et appropriées pour les protéger contre la perte, l’utilisation abusive, l’accès, la divulgation, la modification ou la destruction non autorisés, en tenant compte des risques liés au traitement et de la nature des données personnelles. Kiteworks constitue une solution de référence pour les organisations souhaitant se conformer à la décision d’adéquation États-Unis-UE.

Kiteworks garantit la sécurité des données grâce au chiffrement AES, en transit comme au repos, avec un chiffrement 256 bits. Les fichiers sont protégés pendant leur transfert entre serveurs via SSL/TLS et chiffrement AES. Deux couches de chiffrement, dont un chiffrement de disque AES-256 bits validé FIPS 140-2 et un chiffrement individuel des fichiers, renforcent la protection des données. Kiteworks s’intègre parfaitement aux solutions DLP, permettant de restreindre le partage en fonction du contenu. Des options d’authentification telles que l’intégration SAML SSO et l’authentification à deux facteurs renforcent la sécurité. Il s’agit de la seule plateforme autorisée FedRAMP pour le partage de fichiers, le transfert sécurisé de fichiers et les données e-mail, répondant aux normes de conformité comme CMMC 2.0 et HIPAA. Les autorisations granulaires, le chiffrement et les journaux d’audit préviennent la perte, l’utilisation abusive, l’accès ou la divulgation non autorisés. Les fonctionnalités de Kiteworks garantissent l’intégrité, la disponibilité et la confidentialité des données, simplifiant la conformité.

Informer clairement les personnes lors de la collecte d’informations personnelles et garantir transparence et protection lors de l’opt-in

Le cadre prévoit également plusieurs exigences de traçabilité concernant l’information, le choix, la responsabilité lors des transferts ultérieurs, l’accès, le recours, l’application et la responsabilité. Pour être conforme à cette décision d’adéquation, les organisations doivent informer les personnes concernées de manière claire et visible dès qu’elles leur demandent de fournir des informations personnelles ou dès que cela est possible. En accord avec le cadre, Kiteworks propose des formulaires web sécurisés et des mécanismes de collecte de données permettant d’obtenir le consentement explicite des utilisateurs. Ces formulaires sont personnalisables pour préciser l’objectif de la collecte, l’utilisation des données et l’implication de tiers.

Selon le cadre, une organisation doit offrir aux personnes concernées la possibilité de choisir si leurs informations personnelles peuvent être divulguées à un tiers ou utilisées à des fins sensiblement différentes de celles pour lesquelles elles ont été initialement collectées ou autorisées par les personnes. Pour les informations sensibles (c’est-à-dire les informations personnelles relatives à l’état de santé, à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale ou à la vie sexuelle de la personne), les organisations doivent obtenir le consentement exprès et explicite des personnes si ces informations doivent être divulguées à un tiers ou utilisées à d’autres fins que celles initialement prévues ou autorisées par l’exercice du choix d’opt-in. Kiteworks s’aligne parfaitement sur l’accent mis par le cadre États-Unis-UE sur le contrôle des données. La solution facilite la conformité en proposant des formulaires web sécurisés pour la collecte du consentement explicite et la personnalisation des données. Les utilisateurs peuvent accéder et transférer leurs informations personnelles en toute sécurité vers d’autres entités, conformément à l’esprit du cadre. Le stockage sécurisé, les journaux d’audit et le reporting de conformité de Kiteworks répondent aux exigences de sécurité des données. La fonction de reporting bénéficie aussi bien aux utilisateurs finaux qu’aux administrateurs, en mettant en avant les activités des utilisateurs via la console d’administration et l’application web Kiteworks. Cette solution globale permet aux organisations de répondre aux exigences complexes de contrôle des données prévues par le cadre tout en garantissant aux individus la maîtrise de leurs données personnelles.

Les organisations souhaitant se conformer au cadre doivent également permettre aux personnes concernées d’accéder aux informations personnelles les concernant détenues par l’organisation et de pouvoir corriger, modifier ou supprimer ces informations si elles sont inexactes ou ont été traitées en violation des principes d’information et de choix. Kiteworks offre un soutien solide aux droits d’accès individuels, permettant aux utilisateurs non seulement d’accéder à leurs données personnelles mais aussi de savoir comment elles sont traitées. La plateforme améliore la portabilité des données, offrant aux utilisateurs un accès sécurisé pour consulter, transférer et télécharger leurs informations personnelles. En respectant les autorisations d’accès appropriées et en mettant en œuvre le verrouillage et la gestion des versions des dépôts, Kiteworks garantit aux utilisateurs une interaction sécurisée et maîtrisée avec leurs données.

Définir la responsabilité lors des transferts ultérieurs

Les organisations doivent également assumer la responsabilité des transferts ultérieurs. Pour transférer des informations personnelles à un tiers agissant en tant que responsable de traitement, elles doivent respecter les principes d’information et de choix. Elles doivent également conclure un contrat avec le tiers responsable de traitement, stipulant que ces données ne pourront être traitées que dans des buts limités et précis, conformément au consentement de la personne concernée, et que le destinataire offrira le même niveau de protection que les principes, en informant l’organisation s’il estime ne plus pouvoir respecter cette obligation. Kiteworks joue un rôle clé dans le respect des principes de contrôle des données du cadre États-Unis-UE. Ce cadre impose une gestion rigoureuse des informations personnelles lors de leur transfert à des tiers, qu’ils soient responsables de traitement ou sous-traitants. Kiteworks ne se contente pas de soutenir les principes d’information et de choix, la solution aide activement les organisations à s’y conformer. La plateforme propose des formulaires web sécurisés et des mécanismes personnalisables pour la collecte du consentement explicite, garantissant la compréhension des finalités d’utilisation des données et de l’implication de tiers.

Kiteworks permet aux organisations de créer des mécanismes d’opt-in, donnant aux utilisateurs la possibilité de fournir activement leurs informations. Des formulaires de consentement détaillés expliquent l’utilisation, le partage et la conservation des données, permettant des choix éclairés. La plateforme prend aussi en charge les procédures de consentement des mineurs, assurant la conformité avec les lois applicables.

Par ailleurs, Kiteworks renforce la sécurité des données grâce à son modèle d’accès basé sur le principe du moindre privilège. Les administrateurs gèrent finement les accès au niveau individuel et par rôle, renforçant la protection contre les accès non autorisés. Les contrôles de dossiers imbriqués permettent une gestion granulaire du contenu et des autorisations. Les fonctions comme l’édition en temps réel, l’accès en lecture seule ou le téléchargement contrôlé sont modulées selon les rôles et la sensibilité des données. Les administrateurs peuvent mettre en place des blocages de domaine, du géorepérage et des autorisations de fonctionnalités, affinant l’accès selon la localisation et le domaine. En résumé, Kiteworks incarne les principes du cadre et propose des outils précieux pour une conformité fluide, renforçant le contrôle et la sécurité des données pour les organisations.

Garantir l’application de la conformité et limiter la responsabilité

Les organisations souhaitant se conformer au cadre doivent mettre en place une protection efficace de la vie privée, incluant des mécanismes robustes pour garantir le respect des principes, des recours pour les personnes affectées par un non-respect des principes, ainsi que des conséquences pour l’organisation en cas de non-respect. Au minimum, ces mécanismes doivent inclure des procédures de suivi pour vérifier que les déclarations et engagements des organisations sur leurs pratiques de confidentialité sont exacts et que ces pratiques sont effectivement mises en œuvre, notamment en cas de non-conformité. Kiteworks propose une gouvernance avancée avec des rapports de conformité RGPD. Ces rapports aident les organisations à répondre aux exigences du RGPD et à collecter automatiquement toutes les informations nécessaires pour les audits. Cela inclut les données sur la collecte, le stockage, l’utilisation et le partage des données personnelles au sein de l’organisation. Ces rapports mettent également en évidence les écarts et les problèmes potentiels de conformité, permettant aux organisations de les corriger avant un audit. Cette approche proactive aide les organisations à rester conformes et à éviter les sanctions liées au non-respect du RGPD. Tous les événements sont consignés et présentés dans un rapport accessible aux administrateurs d’application et aux administrateurs système de Kiteworks. Ces administrateurs disposent d’un accès complet aux journaux d’audit de toutes les actions réalisées sur le système. Plus globalement, les rapports permettent aussi de suivre les opérations pertinentes et d’évaluer les paramètres de contrôle des règles. Cela garantit la bonne mise en œuvre et l’efficacité des politiques de protection des données de l’organisation. Ces rapports de conformité RGPD fournissent également la preuve aux auditeurs que des contrôles et analyses ont été appliqués, y compris les contrôles antivirus (AV et ATP), la confidentialité (DLP) et d’autres menaces potentielles à la sécurité.

Surveillez l’intégrité des données et la limitation des finalités

Pour être conforme à cette décision d’adéquation, les organisations doivent respecter l’intégrité des données et la limitation des finalités. Elles doivent être en accord avec les principes, et les informations personnelles doivent se limiter à ce qui est pertinent pour les finalités du traitement. Une organisation ne peut pas traiter des informations personnelles d’une manière incompatible avec les finalités pour lesquelles elles ont été collectées ou ultérieurement autorisées par la personne concernée. Kiteworks applique une approche stricte de la gestion des accès utilisateurs, garantissant que chaque personne bénéficie du niveau d’accès minimum nécessaire à son rôle, limitant ainsi les risques d’utilisation abusive ou accidentelle des données. Les administrateurs disposent d’un contrôle précis sur les accès, la gestion du contenu, de la structure et des autorisations. La plateforme permet une collaboration nuancée et un accès en lecture seule avec filigrane, téléchargement ou dépôt à l’aveugle. Ce niveau de contrôle garantit que les utilisateurs n’accèdent qu’aux données essentielles. Kiteworks renforce encore sa sécurité grâce à des fonctions d’audit et de reporting avancées. Les administrateurs bénéficient d’une visibilité complète sur toutes les activités des utilisateurs dans le système, renforçant l’application du principe du moindre privilège. Ce suivi rigoureux des actions utilisateurs protège les données et garantit l’efficacité de cette approche.