Êtes-vous le DSI de votre entreprise ?
Lisez notre Cheatsheet pour les DSI pour vous aider dans vos efforts de conformité au RGPD.
Lisez notre Cheatsheet pour les DSI pour vous aider dans vos efforts de conformité au RGPD.
-
Qu'est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen sur la protection de la vie privée qui est entré en vigueur le 25 mai 2018. Le RGPD, qui remplace la directive européenne sur la protection des données, vise à consolider les réglementations sur la protection des données dans l'Union européenne (UE) en adoptant une loi unique sur la protection des données applicable dans tous les États membres.
Quel que soit l'endroit où votre entreprise est située, la loi concerne les entreprises européennes et toute entreprise qui cible des citoyens européens ou qui collecte, utilise ou traite des données personnelles de personnes européennes. En pratique, cela implique que le RGPD s'appliquera à la plupart des entreprises qui traitent des données personnelles de citoyens européens, quel que soit leur lieu d'implantation ou le lieu de leurs opérations de traitement. -
Qu'est-ce qu'une donnée personnelle ?
La définition des données personnelles du RGPD englobe ce que nous considérons habituellement comme des informations personnellement identifiables (IPI) - noms, numéros de passeport, dates de naissance, etc. - ainsi que des données que nous pouvons considérer comme non IPI, telles que des adresses électroniques ou des identifiants d'appareils.
Veuillez consulter l'article 4, paragraphe 1, du RGPD pour obtenir une liste complète de ce que le RGPD considère comme des données personnelles. Un sous-ensemble de données connu sous le nom de "catégories spéciales de données personnelles" est également inclus dans la définition des données personnelles. Le RGPD définit les catégories particulières de données personnelles comme un ensemble de données comprenant la race et l'ethnicité, la religion, les opinions politiques, les informations sur la santé, etc. -
Qui est concerné par le RGPD ?
Le RGPD a une large portée géographique. Il s'applique non seulement à toutes les entreprises basées dans l'UE qui traitent des données personnelles, mais aussi à toute entité non basée dans l'UE qui traite des données personnelles de personnes basées dans l'UE.
Y compris les entreprises qui:
a) offrent des biens ou des services sans exiger de paiement
b) surveillent toute activité au sein de l'UE.
-
Quelles sont les exigences du RGPD ?
Les entreprises doivent prendre des mesures de protection des données appropriées pour protéger la confidentialité des données des consommateurs contre la perte ou l'exposition, selon le RGPD. Les principes et les exigences les plus importants régissant la gestion des données personnelles sont résumés à l'article 5 du RGPD :
• Les données personnelles collectées doivent être traitées de manière équitable, légale et transparente. Il ne doit pas être utilisé d'une manière à laquelle une personne ne pourrait raisonnablement s'attendre.
• Les données personnelles ne doivent être collectées qu'à des fins spécifiques. Elles ne doivent pas être utilisées d'une manière qui ne soit pas compatible avec ces objectifs. Lorsqu'elles collectent des données personnelles, les entreprises doivent expliquer pourquoi elles en ont besoin.
• Les données personnelles doivent être tenues à jour et exactes. Elle ne doit être maintenue que le temps nécessaire à la réalisation de son objectif.
• Les citoyens de l'Union européenne ont le droit de consulter leurs "données personnelles". Ils peuvent également en demander une copie, la mettre à jour, l'effacer, la limiter ou la transférer à une autre organisation sans restriction.
• Les données personnelles doivent être traitées de manière à garantir leur sécurité. Cela comprend les garanties contre le traitement illégal ou illicite, ainsi que la perte, la destruction ou les dommages causés par des accidents.
• Les données personnelles ne doivent pas être conservées plus longtemps que nécessaire. Elles ne doivent être conservées que pour la durée de la finalité pour laquelle elles sont traitées. -
GDPR & Twake
Twake est conçu pour protéger les données personnelles et la vie privée en ligne. Nous applaudissons la récente règle de l'UE qui renforce et unifie ces protections pour les individus sous son autorité. Nous avons examiné en profondeur les implications juridiques et techniques du RGPD pour assurer la conformité et avons effectué toutes les mises à jour nécessaires de nos produits, services et documentation. Les clients de Twake bénéficient du meilleur contrôle sur leurs données.
Nous équipons même les visiteurs de notre site web des outils dont ils ont besoin pour protéger leurs informations.
Twake est 100% conforme aux exigences du RGPD. -
Que fait Twake pour garantir une conformité totale avec le RGPD ?
• Nous avons mené un audit de sécurité pour nous assurer que toutes nos politiques de sécurité et nos mesures de protection sont conformes au RGPD.
• Le RGPD est couvert par les politiques organisationnelles de Twake, y compris nos politiques de sécurité des données et de confidentialité des données. Toute notre équipe comprend l'importance de bonnes normes de sécurité et de confidentialité des données à tous les niveaux. Il s'agit d'un processus continu que nous considérons comme essentiel à la réussite de notre projet.
• Nous avons réalisé des évaluations d'impact sur la protection des données afin d'identifier et de minimiser tout risque lié à nos activités de traitement.
• Nous stockons toutes nos données dans des serveurs OVH Cloud situés en France.
• Nous avons veillé à ce que notre politique de confidentialité souligne l'engagement de Twake et Linagora à l'égard du RGPD, soit transparente sur la manière dont nous utilisons les données personnelles et informe les personnes sur la manière d'exercer leurs droits de sujet de données.
• Nous établissons et créons les procédures opérationnelles nécessaires pour soutenir les droits d'une personne à accéder, examiner et supprimer les données la concernant que nous stockons.
• En tant que sous-traitant et responsable du traitement des données personnelles, nous tenons des registres précis de nos activités de traitement.
• Les notifications de cookies peuvent être adaptées pour répondre aux besoins juridiques de chaque pays ou région.
• Nous disposons de mesures strictes pour protéger vos données personnelles et professionnelles. En ce qui concerne spécifiquement votre mot de passe et vos données personnelles, les mots de passe sont hachés à l'aide de PBKDF2, vos données sont cryptées avant d'être envoyées à la base de données (cryptage au repos) et nous utilisons le cryptage TLS pour les communications (cryptage en transit).
La question plus large de la sécurité des données est davantage un engagement à long terme qu'un projet ponctuel. Dans un paysage de réglementation et de risques réels en constante évolution, Twake reste attaché à la sécurité des données et à la confidentialité, et nous veillerons à ce que nos clients soient protégés. -
Comment Twake peut-il aider votre organisation à se conformer au RGPD ?
Nous essayons de faire en sorte que nos produits et services permettent à nos clients de se conformer au RGPD. Cela inclut :
• Continuer à améliorer les fonctions de sécurité de nos produits ainsi que le cadre de sécurité de notre entreprise et de notre infrastructure, comme indiqué dans la section précédente.
• S'assurer que le contrat de nos clients avec nous leur permet de se conformer aux normes du RGPD pour la désignation des processeurs de données, ainsi que s'assurer que nos propres contrats avec les processeurs de données sont conformes.
• Examiner en permanence les recommandations de conformité au RGPD en général et modifier notre stratégie si nécessaire.
Liste de contrôle de la conformité au RGPD pour la sécurité du cloud
Le RGPD impose aux entreprises de sécuriser les données personnelles de leurs clients et employés à toutes les phases du cycle de vie du traitement des données.
Se conformer à cette obligation est devenu de plus en plus difficile, car de plus en plus d'entreprises adoptent et utilisent des solutions de communication et de collaboration basées sur le cloud. Selon une enquête récente, 60 % des entreprises ont l'intention d'abandonner entièrement les solutions sur site au cours des deux prochaines années au profit de technologies SaaS (Software-as-a-Service) basées sur le cloud.
Les petites entreprises se tournent également vers le cloud : le nombre moyen d'applications cloud d'une PME était estimé à 7 en 2017. Il n'est pas facile de choisir des services basés sur le cloud qui aident les entreprises à garantir et à maintenir la conformité au RGPD.
Lorsqu'elles recherchent un prestataire de services, les entreprises doivent tenir compte de divers facteurs technologiques et juridiques.
Notre liste de contrôle vous aide en résumant les 5 éléments les plus cruciaux à garder à l'esprit.
