Êtes-vous le DSI de votre entreprise ?

  • Qu'est-ce que le RGPD ?
    Qu'est-ce que le RGPD ?

    Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen sur la protection de la vie privée qui est entré en vigueur le 25 mai 2018. Le RGPD, qui remplace la directive européenne sur la protection des données, vise à consolider les réglementations sur la protection des données dans l'Union européenne (UE) en adoptant une loi unique sur la protection des données applicable dans tous les États membres.
    Quel que soit l'endroit où votre entreprise est située, la loi concerne les entreprises européennes et toute entreprise qui cible des citoyens européens ou qui collecte, utilise ou traite des données personnelles de personnes européennes. En pratique, cela implique que le RGPD s'appliquera à la plupart des entreprises qui traitent des données personnelles de citoyens européens, quel que soit leur lieu d'implantation ou le lieu de leurs opérations de traitement.

  • Qu'est-ce qu'une donnée personnelle ?
    Qu'est-ce qu'une donnée personnelle ?

    La définition des données personnelles du RGPD englobe ce que nous considérons habituellement comme des informations personnellement identifiables (IPI) - noms, numéros de passeport, dates de naissance, etc. - ainsi que des données que nous pouvons considérer comme non IPI, telles que des adresses électroniques ou des identifiants d'appareils.
    Veuillez consulter l'article 4, paragraphe 1, du RGPD pour obtenir une liste complète de ce que le RGPD considère comme des données personnelles. Un sous-ensemble de données connu sous le nom de "catégories spéciales de données personnelles" est également inclus dans la définition des données personnelles. Le RGPD définit les catégories particulières de données personnelles comme un ensemble de données comprenant la race et l'ethnicité, la religion, les opinions politiques, les informations sur la santé, etc.

  • Qui est concerné par le RGPD ?
    Qui est concerné par le RGPD ?

    Le RGPD a une large portée géographique. Il s'applique non seulement à toutes les entreprises basées dans l'UE qui traitent des données personnelles, mais aussi à toute entité non basée dans l'UE qui traite des données personnelles de personnes basées dans l'UE.
    Y compris les entreprises qui:
    a) offrent des biens ou des services sans exiger de paiement
    b) surveillent toute activité au sein de l'UE.

  • Quelles sont les exigences du RGPD ?
    Quelles sont les exigences du RGPD ?

    Les entreprises doivent prendre des mesures de protection des données appropriées pour protéger la confidentialité des données des consommateurs contre la perte ou l'exposition, selon le RGPD. Les principes et les exigences les plus importants régissant la gestion des données personnelles sont résumés à l'article 5 du RGPD :
    • Les données personnelles collectées doivent être traitées de manière équitable, légale et transparente. Il ne doit pas être utilisé d'une manière à laquelle une personne ne pourrait raisonnablement s'attendre.
    • Les données personnelles ne doivent être collectées qu'à des fins spécifiques. Elles ne doivent pas être utilisées d'une manière qui ne soit pas compatible avec ces objectifs. Lorsqu'elles collectent des données personnelles, les entreprises doivent expliquer pourquoi elles en ont besoin.
    • Les données personnelles doivent être tenues à jour et exactes. Elle ne doit être maintenue que le temps nécessaire à la réalisation de son objectif.
    • Les citoyens de l'Union européenne ont le droit de consulter leurs "données personnelles". Ils peuvent également en demander une copie, la mettre à jour, l'effacer, la limiter ou la transférer à une autre organisation sans restriction.
    • Les données personnelles doivent être traitées de manière à garantir leur sécurité. Cela comprend les garanties contre le traitement illégal ou illicite, ainsi que la perte, la destruction ou les dommages causés par des accidents.
    • Les données personnelles ne doivent pas être conservées plus longtemps que nécessaire. Elles ne doivent être conservées que pour la durée de la finalité pour laquelle elles sont traitées.

  • GDPR & Twake
    GDPR & Twake

    Twake est conçu pour protéger les données personnelles et la vie privée en ligne. Nous applaudissons la récente règle de l'UE qui renforce et unifie ces protections pour les individus sous son autorité. Nous avons examiné en profondeur les implications juridiques et techniques du RGPD pour assurer la conformité et avons effectué toutes les mises à jour nécessaires de nos produits, services et documentation. Les clients de Twake bénéficient du meilleur contrôle sur leurs données.
    Nous équipons même les visiteurs de notre site web des outils dont ils ont besoin pour protéger leurs informations.
    Twake est 100% conforme aux exigences du RGPD.

  • Que fait Twake pour garantir une conformité totale avec le RGPD ?
    Que fait Twake pour garantir une conformité totale avec le RGPD ?

    • Nous avons mené un audit de sécurité pour nous assurer que toutes nos politiques de sécurité et nos mesures de protection sont conformes au RGPD.
    • Le RGPD est couvert par les politiques organisationnelles de Twake, y compris nos politiques de sécurité des données et de confidentialité des données. Toute notre équipe comprend l'importance de bonnes normes de sécurité et de confidentialité des données à tous les niveaux. Il s'agit d'un processus continu que nous considérons comme essentiel à la réussite de notre projet.
    • Nous avons réalisé des évaluations d'impact sur la protection des données afin d'identifier et de minimiser tout risque lié à nos activités de traitement.
    • Nous stockons toutes nos données dans des serveurs OVH Cloud situés en France.
    • Nous avons veillé à ce que notre politique de confidentialité souligne l'engagement de Twake et Linagora à l'égard du RGPD, soit transparente sur la manière dont nous utilisons les données personnelles et informe les personnes sur la manière d'exercer leurs droits de sujet de données.
    • Nous établissons et créons les procédures opérationnelles nécessaires pour soutenir les droits d'une personne à accéder, examiner et supprimer les données la concernant que nous stockons.
    • En tant que sous-traitant et responsable du traitement des données personnelles, nous tenons des registres précis de nos activités de traitement.
    • Les notifications de cookies peuvent être adaptées pour répondre aux besoins juridiques de chaque pays ou région.
    • Nous disposons de mesures strictes pour protéger vos données personnelles et professionnelles. En ce qui concerne spécifiquement votre mot de passe et vos données personnelles, les mots de passe sont hachés à l'aide de PBKDF2, vos données sont cryptées avant d'être envoyées à la base de données (cryptage au repos) et nous utilisons le cryptage TLS pour les communications (cryptage en transit).
    La question plus large de la sécurité des données est davantage un engagement à long terme qu'un projet ponctuel. Dans un paysage de réglementation et de risques réels en constante évolution, Twake reste attaché à la sécurité des données et à la confidentialité, et nous veillerons à ce que nos clients soient protégés.

  • Comment Twake peut-il aider votre organisation à se conformer au RGPD ?
    Comment Twake peut-il aider votre organisation à se conformer au RGPD ?

    Nous essayons de faire en sorte que nos produits et services permettent à nos clients de se conformer au RGPD. Cela inclut :
    • Continuer à améliorer les fonctions de sécurité de nos produits ainsi que le cadre de sécurité de notre entreprise et de notre infrastructure, comme indiqué dans la section précédente.
    • S'assurer que le contrat de nos clients avec nous leur permet de se conformer aux normes du RGPD pour la désignation des processeurs de données, ainsi que s'assurer que nos propres contrats avec les processeurs de données sont conformes.
    • Examiner en permanence les recommandations de conformité au RGPD en général et modifier notre stratégie si nécessaire.

Liste de contrôle de la conformité au RGPD pour la sécurité du cloud

gdpr-compliance-picture

Le RGPD impose aux entreprises de sécuriser les données personnelles de leurs clients et employés à toutes les phases du cycle de vie du traitement des données.

Se conformer à cette obligation est devenu de plus en plus difficile, car de plus en plus d'entreprises adoptent et utilisent des solutions de communication et de collaboration basées sur le cloud. Selon une enquête récente, 60 % des entreprises ont l'intention d'abandonner entièrement les solutions sur site au cours des deux prochaines années au profit de technologies SaaS (Software-as-a-Service) basées sur le cloud.

Les petites entreprises se tournent également vers le cloud : le nombre moyen d'applications cloud d'une PME était estimé à 7 en 2017. Il n'est pas facile de choisir des services basés sur le cloud qui aident les entreprises à garantir et à maintenir la conformité au RGPD.

Lorsqu'elles recherchent un prestataire de services, les entreprises doivent tenir compte de divers facteurs technologiques et juridiques.

Notre liste de contrôle vous aide en résumant les 5 éléments les plus cruciaux à garder à l'esprit.

1. Quelles sont les technologies de cryptage utilisées par le fournisseur ?

Bien que le RGPD ne mentionne pas spécifiquement les méthodes de cryptage, la manière dont les clés de cryptage sont stockées est essentielle pour déterminer si la ré-identification des personnes à partir des données cryptées qui ont fait l'objet d'une fuite est réalisable avec un effort raisonnable. Grâce au cryptage en transit et au repos, Twake offre une sécurité maximale aux données personnelles de ses utilisateurs. Nous avons également inclus le cryptage de bout en bout dans notre feuille de route à court terme afin de fournir une sécurité à toute épreuve à nos utilisateurs et à leurs données personnelles.

2. Quelles autres options de sécurité et de contrôle le fournisseur de services propose-t-il ?

Au-delà d'un cryptage robuste, le fournisseur doit prendre des précautions supplémentaires pour protéger les données de ses utilisateurs. La sécurité des comptes doit avant tout être traitée avec sérieux. Cela inclut la gestion sécurisée de l'authentification des utilisateurs, idéalement en utilisant des approches à connaissance zéro. Il existe plusieurs niveaux de sécurité lorsqu'il s'agit de la façon dont un fournisseur de services traite votre mot de passe. La méthode "à connaissance zéro" offre le niveau maximal de sécurité des mots de passe : votre fournisseur n'a aucune connaissance de votre mot de passe. Dans ce cas, votre mot de passe ne sera pas compromis en cas de piratage du fournisseur de services ou de fuite d'un employé. Selon les enquêtes, les erreurs d'employés ou les travailleurs malveillants sont à l'origine d'une grande partie des violations de données. Il peut s'agir d'appareils de travail perdus ou volés, mais aussi de fuites de données intentionnelles par le personnel. Pour réduire les dangers de ces incidents, assurez-vous que votre fournisseur dispose de solides capacités de contrôle et de gouvernance des données. Vous devez rechercher les fonctionnalités suivantes : La gestion des permissions, y compris la possibilité de définir des niveaux d'accès granulaires aux données personnelles et autres données sensibles, ainsi que la possibilité de surveiller les activités du personnel liées à la gestion des fichiers, comme ceux qui ont ouvert ou supprimé des fichiers (pistes d'audit), et la possibilité de créer et de surveiller les politiques de sécurité internes liées à la sécurité des données, et les options de sauvegarde telles que la récupération des fichiers supprimés, et les outils de contrôle des appareils.

3. Le fournisseur est-il franc quant à l'endroit où les données sont stockées et à la manière dont elles sont protégées ?

Les données personnelles doivent être traitées de manière légale, équitable et transparente, selon le RGPD. Cela vaut pour les entreprises qui gèrent des données personnelles (responsables du traitement des données) ainsi que pour les services basés sur le cloud qu'elles utilisent (responsables du traitement des données). Le responsable du traitement des données, quant à lui, doit s'assurer que les services tiers qu'il utilise respectent ces règles, car il porte la responsabilité et l'obligation ultimes en matière de protection des données en vertu du principe de responsabilité. Le responsable du traitement doit être en mesure de démontrer que tous les principes régissant le traitement des données à caractère personnel ont été respectés.

Des aspects tels que la résidence des données sont également essentiels. Bien que le RGPD ne précise pas si les données doivent être stockées dans l'UE, si votre fournisseur conserve vos données dans des centres de données de l'UE, la conformité au RGPD sera plus facile. Des garanties supplémentaires sont requises lorsque le fournisseur emploie des centres de données ou des sous-traitants secondaires de pays tiers pour s'assurer que vos données sont protégées selon les mêmes normes élevées que celles imposées par le RGPD dans l'UE.

4. L'entreprise est-elle en mesure de produire des documents juridiquement contraignants sur la protection des données ?

Le RGPD rationalise la législation sur la protection des données dans tous les États membres de l'UE afin d'offrir aux résidents de l'UE un meilleur contrôle sur la confidentialité de leurs données. Cela signifie que toutes les entreprises qui traitent les données personnelles des citoyens de l'UE doivent suivre ses directives strictes.
Si vous recherchez un fournisseur de solutions de cloud computing situé dans l'UE (par exemple, Twake est situé en France, tout comme nos serveurs), recherchez des preuves que l'entreprise a commencé à préparer ses systèmes de gestion des données pour le RGPD. Cela inclut, entre autres, la fourniture de la documentation appropriée sur la protection des données, comme une politique de confidentialité et des conditions d'utilisation claires et faciles à comprendre, ainsi qu'un accord de traitement des données que leurs clients professionnels peuvent signer. Si le fournisseur de services cloud n'est pas basé dans l'UE, vous devrez rechercher des preuves supplémentaires. Vérifiez si la société est basée dans un pays qui a reçu une décision de la Commission européenne sur le caractère adéquat de la protection des données ou qui fournit d'autres garanties contractuelles acceptables établissant qu'elle bénéficie du même niveau élevé de protection que les entreprises de l'UE (par exemple, des clauses contractuelles types adoptées par la Commission européenne ou des règles d'entreprise contraignantes (BCR) approuvées par la méthode spécifiée à l'article 47 du RGPD).

5. Comment l'entreprise démontre-t-elle que les procédures susmentionnées sont suivies ?

Le RGPD est révolutionnaire car il adopte une approche de la protection des données et de la vie privée fondée sur le risque et la conception. Les entreprises doivent analyser les risques liés à la gestion des données personnelles et prendre les mesures techniques et organisationnelles nécessaires pour les atténuer. Elles doivent également être en mesure de démontrer qu'elles ont pris les précautions essentielles au vu des dangers.

Cela est vrai quel que soit le fournisseur de cloud que vous envisagez. Malgré le fait que le RGPD soit une nouvelle réglementation, vous pouvez demander d'autres accords de protection des données.

Disponible partout

 
logo-app-store logo-google-play

Applications Mobiles

logo-chrome logo-safari logo-edge logo-firefox

Applications Web

logo-apple logo-windows logo-linux

Application de bureau

logo Linagora

Twake est développé par Linagora

arrow up to top

UP