Le règlement RGPD
Protégez les données personnelles de vos clients de l’UE
pour être conforme au RGPD
La confidentialité des données est indispensable aux citoyens de l’UE pour protéger leurs libertés et droits fondamentaux. Le règlement général sur la protection des données (RGPD) veille à ce qu’ils gardent le contrôle de leurs données personnelles en donnant aux entreprises des directives claires sur la manière de gérer et de protéger les informations personnelles identifiables (PII). En se conformant au RGPD, les entreprises s’engagent dans la protection des informations confidentielles de leurs clients européens et dans la préservation de leurs droits et libertés. Le respect du RGPD peut aussi améliorer la notoriété d’une entreprise, attirer de nouveaux clients et lui conférer un avantage concurrentiel.
Le réseau de contenu privé (PCN) de Kiteworks facilite la mise en conformité des entreprises avec le RGPD. Dotée du double chiffrement des données automatisé de bout en bout et de contrôles d’accès granulaires, la plateforme permet de gérer les autorisations en fonction des rôles utilisateurs et de mettre en place une authentification multifactorielle. Les organisations se servent aussi de Kiteworks pour instaurer des politiques de conservation des données qui activent la suppression ou l’archivage automatique des données après une certaine période. Toutes les activités liées aux fichiers (téléchargements, partages de fichiers) sont surveillées, suivies et enregistrées dans des journaux d’audit. Enfin, le PCN de Kiteworks facilite l’obtention et la gestion des consentements des utilisateurs, ainsi que les requêtes des personnes concernées. C’est un élément important pour les entreprises qui manipulent des informations personnelles identifiables, car il permet d’obtenir un consentement explicite et éclairé et de répondre efficacement aux demandes d’accès, de suppression ou de modification des données personnelles.
Conformité RGPD : protection des données par chiffrement et contrôle d’accès
Les entreprises qui ne chiffrent pas les informations personnelles identifiables lorsqu’elles sont stockées ou partagées menacent la vie privée des consommateurs et s’exposent à une violation des données et au non-respect du RGPD. Kiteworks protège les données personnelles des consommateurs de l’UE avec un chiffrement AES-256 bits au repos et TLS 1.2 en transit. Les mesures de sécurité comprennent un module validé FIPS 140-2 de niveau 1 et une passerelle de protection des e-mails (EPG) dotée d’un chiffrement automatisé, basé sur des règles qui protègent les informations confidentielles en transit de de bout en bout. La propriété exclusive de la clé de chiffrement vous permet de décider à quel moment effectuer l’opération afin que personne, pas même Kiteworks, ne puisse accéder à votre contenu. Les contrôles d’accès granulaires prévoient des autorisations basées sur les rôles afin de limiter et de restreindre l’accès aux informations personnelles identifiables. Exigez de vos collaborateurs ou interlocuteurs qu’ils s’authentifient à l’aide d’un système d’authentification multifactorielle. Appliquez votre DLP au trafic sortant et votre système anti-malware et anti-phishing au trafic entrant. Les innovations SafeVIEW et SafeEDIT DRM permettent de visualiser et d’éditer des fichiers de façon dynamique afin de garantir que les données sensibles ne quittent jamais le serveur central protégé.
EN SAVOIR PLUS SUR LE CHIFFREMENT DES E-MAILS ASSURÉ PAR KITEWORKS
Conformité RGPD : visibilité de tous les échanges de données personnelles grâce à des rapports détaillés
Pour une entreprise, avoir la visibilité et le contrôle sur chaque fichier contenant des informations confidentielles est la garantie d’une bonne gouvernance du contenu, du respect des normes de confidentialité des données telles que le NIST Cybersecurity Framework (CSF), et d’une réduction des risques de violation des données. La solution Kiteworks vous donne une visibilité centralisée de tous les fichiers contenant des informations confidentielles qui entrent, circulent et sortent de votre structure. Surveillez et tracez tout le contenu stocké dans les systèmes ECM connectés sur site et dans le cloud tels que OneDrive et Box. Toute l’activité des fichiers (qui partage quoi avec qui, quand et comment) est reportée dans des reportings exhaustifs, facilitant leur analyse. Des journaux d’audit détaillés capturent l’activité des fichiers et s’intègrent à votre solution SIEM, pour une analyse forensique, l’eDiscovery et fournir des preuves de la conformité RGPD. Enfin, vous obtenez des rapports de conformité prêts en un seul clic, avec une visibilité détaillée sur les configurations du système et les paramètres de sécurité, simplifiant la conduite des audits.
EN SAVOIR PLUS SUR LES OUTILS DE VISIBILITÉ ET DE SUIVI DE KITEWORKS
Conformité RGPD : protéger la confidentialité lors de chaque envoi d’e-mails et transfert de fichiers
En partageant les informations personnelles identifiables en toute sécurité, les professionnels préservent les droits des résidents de l’UE à la vie privée et à la protection des données, conformément au RGPD. Kiteworks offre la possibilité de définir des politiques administratives granulaires et évolutives, ainsi que des autorisations basées sur les rôles, comme l’accès en modification, en partage, en téléchargement et en lecture seule. Kiteworks prévoit le verrouillage des fichiers pour limiter l’accès à un fichier à un seul utilisateur à la fois. Les fichiers sont protégés par un chiffrement AES-256 au repos et TLS 1.2 en transit. En outre, l’authentification multifactorielle (MFA) empêche l’accès non autorisé aux e-mails et aux fichiers contenant des informations confidentielles. Vous pouvez choisir de la rendre obligatoire pour tous les utilisateurs, ou seulement pour certains d’entre eux ou dans certaines conditions, si vous avez par exemple des utilisateurs accédant au système depuis des réseaux inconnus. Toutes les connexions MFA, comme toutes les activités de fichiers, sont enregistrées et exportables vers un serveur syslog et lues par des produits SIEM tels que Splunk, LogRhythm et ArcSight.
EN SAVOIR PLUS SUR LES OPTIONS DE CONFIDENTIALITÉ DES E-MAILS ET DES FICHIERS DISPONIBLES
Conformité RGPD : respecter le droit à l’oubli
En respectant l’exigence du RGPD relative au droit à l’oubli, les entreprises témoignent du respect des droits des individus à la vie privée et à la protection des données, et évitent l’examen public, les critiques et les éventuels litiges. Kiteworks aide les organisations à respecter le droit à l’oubli du RGPD. Les organisations peuvent définir des politiques de conservation des données, précisant pendant combien de temps les données personnelles seront stockées et quand elles seront définitivement supprimées. Kiteworks fournit une plateforme centralisée où toutes les PII sont stockées, ce qui aide les organisations à identifier toutes les données qu’elles détiennent sur un individu. Dans le cas où un individu demande le droit à l’oubli, Kiteworks permet aux organisations de fournir ou de supprimer toutes les données pertinentes en un seul clic. Toutes les activités de suppression de données sont consignées et vérifiables.
Questions Fréquemment Posées
La conformité RGPD fait référence au respect des règles énoncées dans le Règlement général sur la protection des données (RGPD), une loi complète sur la confidentialité des données en vigueur au sein de l’Union européenne (UE). Ce règlement fournit des lignes directrices sur la manière dont les données personnelles des citoyens et résidents de l’UE doivent être collectées, traitées, stockées et partagées par les organisations, qu’elles soient basées dans l’UE ou ailleurs. Pour être conforme, es organisations doivent prendre des mesures de sécurité pour protéger les données personnelles des citoyens et des résidents de l’UE et respecter leur droit à la vie privée.
Le RGPD repose sur un ensemble de principes relatifs à la manière dont les données à caractère personnel doivent être traitées. Objectif : garantir que les organisations traitent les données personnelles des citoyens et des résidents de l’UE de manière équitable, transparente et sécurisée.
Voici les trois grands principes du RGPD :
- Légalité, équité et transparence : les organisations doivent traiter les données à caractère personnel de manière licite, loyale et transparente. Cela implique de fournir aux individus des informations claires et concises sur la manière dont leurs données seront traitées.
- Limitation des finalités : les données à caractère personnel doivent être collectées et traitées à des fins spécifiques, explicites et légitimes. Les organisations ne doivent pas traiter les données à caractère personnel d’une manière incompatible avec ces finalités.
- Minimisation des données : les organisations doivent collecter et traiter uniquement les données à caractère personnel qui leur sont nécessaires et veiller à ce que les données soient exactes et à jour.
Les organisations peuvent prendre un certain nombre de mesures pour protéger les données à caractère personnel des citoyens et résidents de l’UE et respecter leur droit à la vie privée. Cela peut comprendre la mise en œuvre de politiques et de procédures de protection des données, la nomination d’un responsable de traitement des données personnelles et la réalisation d’évaluations régulières de l’impact sur la protection des données.
Parmi les mesures à prendre pour se conformer au RGPD, citons :
- Examiner et mettre à jour les politiques et procédures de protection des données pour s’assurer qu’elles sont conformes aux exigences du RGPD.
- Mettre en œuvre des mesures techniques et organisationnelles appropriées, telles que le chiffrement, les contrôles d’accès et la pseudonymisation, afin de garantir la sécurité des données à caractère personnel.
- Veiller à ce que les personnes aient accès à leurs données personnelles et puissent exercer leurs droits en vertu du RGPD, tel que le droit à l’effacement et/ou au déréférencement.
- Réaliser des audits réguliers des activités de traitement des données afin d’identifier les points d’amélioration.
- S’assurer que les prestataires externes, tels que les fournisseurs de services cloud, sont conformes au RGPD et disposent de garanties appropriées pour protéger les données à caractère personnel.
- Élaborer un plan de réponse aux incidents pour gérer les violations de données et l’accès non autorisé aux données à caractère personnel.
- Conserver la documentation et les enregistrements des activités de traitement des données pour démontrer la conformité au RGPD.
Une analyse d’impact est un processus d’identification et d’évaluation des risques de violation de la confidentialité associés à une activité particulière de traitement des données. Le RGPD exige une AIPD pour certains types d’activités de traitement susceptibles d’entraîner un risque élevé pour les droits à la vie privée des citoyens et des résidents de l’UE.
Oui, les entreprises américaines doivent se conformer au RGPD si elles traitent des données à caractère personnel de citoyens et de résidents de l’UE. En fait, toute entreprise, quel que soit son lieu de constitution, doit se conformer au RGPD si elle traite, détient ou partage des données à caractère personnel de citoyens et de résidents de l’UE.