Comment protégez-vous vos données personnelles ?

64
Partager :

Afin de se conformer au RGPR, les organisations doivent mettre en œuvre des mesures techniques appropriées qui garantissent la conformité. Ceci est établi en vertu de l’article 32, qui définit les « normes de sécurité du traitement » du RGDP, et est exigé à la fois des responsables du traitement des données et des sous-traitants.

Lors de la mise en œuvre de ces mesures, le règlement prévoit que « l’état de la technique et les coûts de mise en œuvre » et « la nature, la portée, le contexte et les finalités du traitement ainsi que le risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques » doivent être pris en compte.

A voir aussi : Qu'est-ce que SCM ? (Gestion de la configuration de la sécurité)

Cela signifie qu’il n’y aura pas un ensemble universel de mesures techniques et organisationnelles, en raison du fait que les différentes façons dont les données sont collectées, stockées et traitées, et les différents niveaux de risque qu’elles présentent pour les individus. Toutefois, le RGDP a proposé quelques méthodes suggérées pour la protection des données.

Confidentialité Conception et confidentialité par défaut

Bien que les autorités de contrôle aient généralement indiqué que les organisations adoptent cette approche, pour la première fois, le RGDP énonce en réalité « confidentialité par conception » et « confidentialité par défaut » comme des obligations spécifiques. En vertu de cette exigence, les entreprises devront concevoir des politiques et des systèmes conformes dès le départ.

A voir aussi : Pourquoi désinstaller Adobe Flash ?

En vertu de l’article 25, le responsable du traitement est tenu de mettre en œuvre des mesures techniques et organisationnelles appropriées au moment de la détermination des moyens de traitement et au moment du traitement proprement dit. Lors de la détermination des mesures à mettre en œuvre, le responsable du traitement doit tenir compte « de l’état de la technique, du coût de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que de la probabilité et de la gravité des risques que le traitement de ses données présente pour l’individu ».

En outre, les organisations doivent offrir aux individus la protection maximale de leur vie privée comme point de départ. Par exemple, opt-in explicite, mesures de protection pour protéger les données des consommateurs, partage restreint et politique de rétention. Par exemple, lors de la configuration d’un nouveau profil de médias sociaux, les paramètres de confidentialité seront automatiquement définis sur le paramètre le plus respectueux de la vie privée. Ensuite, il reviendrait à l’utilisateur de les réduire s’il le souhaite. Cette approche réduit directement le profil de risque de sécurité des données. Moins vous avez de données, moins une brèche sera dommageable.

Minimisation des données

Principe essentiel de la protection des données, il établit que les données à caractère personnel ne doivent pas être conservées ou utilisées plus avant, sauf si cela est nécessaire à des fins clairement énoncées au moment de la collecte. Le principe de minimisation des données s’applique à l’ensemble du cycle de vie des données à caractère personnel, à partir de la quantité collectée, de l’étendue du traitement et de la durée de stockage et d’accessibilité.

Les données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire, par rapport aux finalités pour lesquelles elles ont été  », ce qui signifie que les responsables du traitement doivent s’assurer qu’ils recueillent suffisamment de données pour atteindre leur objectif, mais pas plus que ce qui est nécessaire.

Évaluations des facteurs relatifs à

Elles font partie intégrante de l’approche « confidentialité par conception » et peuvent vous aider à identifier et à réduire les risques liés à la vie privée de vos projets. Ils permettent aux organisations de trouver et de résoudre les problèmes dès les premiers stades de tout projet, de réduire les coûts associés et les dommages à la réputation qui pourraient autrement accompagner une violation de données.

Voici certaines situations où une évaluation des facteurs relatifs à la vie privée (ÉFVP) devrait être effectuée :

  • Un nouveau système informatique pour le stockage et l’accès aux données personnelles
  • Une acquisition d’entreprise
  • Une initiative de partage des données
  • Utilisation des données existantes à des fins nouvelles et inattendues ou plus intrusives
  • Un nouveau système de surveillance
  • Une nouvelle base de données qui regroupe les informations détenues par des parties distinctes d’une organisation

En vertu de l’article 35 de les ÉFVP du RGDP sont obligatoires pour les organisations disposant de technologies et de processus susceptibles d’entraîner un risque élevé pour les droits et libertés des personnes concernées. Cependant, ils constituent un bon outil stratégique pour toute organisation qui traite, stocke ou transfère des données personnelles.

Pseudonymisation

L’ article 4, paragraphe 5, du RGDP définit la pseudonymisation comme « le traitement des données de manière à ce qu’elles ne puissent plus être attribuées à une personne concernée sans l’utilisation d’informations supplémentaires ». Pour qu’un ensemble de données soit pseudonymisé, les « informations supplémentaires » doivent être conservées séparément et en toute sécurité des données non identifiées.

Le RGDP incite les gestionnaires de données à mettre en œuvre cette méthode car il leur permet d’utiliser les données à caractère personnel de manière plus libérale sans porter atteinte aux droits des individus. Ceci est décrit à l’article 6, paragraphe 4, point e), qui stipule que des données pseudonymisées peuvent être traitées pour des utilisations au-delà du processus que les données étaient initialement collectées pour. Cela est dû au fait que les données ne deviennent identifiables que lorsqu’elles sont conservées avec les « informations supplémentaires ».

Toutefois, il est important de noter que la pseudonymisation n’est pas une garantie de protection des données en fonte. Cela ne signifie pas que les organisations qui utilisent cette méthode n’auraient pas à signaler une violation de données à leur autorité de contrôle.

L’ efficacité de la pseudonymisation dépend de sa capacité à protéger les individus contre la « réidentification ». Cela dépend d’un certain nombre de choses, y compris ;

  • les techniques utilisées pour la pseudonymisation ;
  • lorsque les éléments identifiables supplémentaires sont stockés en relation avec les données pseudonymisées ;
  • la probabilité que des éléments non identifiables puissent être utilisés pour identifier de manière unique une personne en particulier

Malheureusement, le RGDP est assez vague en ce qui concerne le niveau de la pseudonymisation de protection des données. Ce n’est qu’au considérant 26 qu’elle mentionne que les gestionnaires de données doivent prendre en compte tiennent compte de la question de savoir si la réidentification est « raisonnablement probable ».

En l’absence de directives officielles sur ce qui constitue « raisonnablement probable », le RGPR conseille simplement que les gestionnaires de données prennent en compte « tous les facteurs objectifs ». Par exemple, « les coûts et le temps requis pour l’identification, la technologie disponible au moment du traitement et les progrès technologiques ».

Que doivent faire les organisations ?

En fin de compte, la protection de la vie privée doit être intégrée à tous les processus, procédures et systèmes qui traitent les données. Dans le cadre du RGDP, les organisations ont besoin d’une approche proactive de la confidentialité et de la protection des données. Il devrait être un élément important du processus de planification et tout au long du cycle de vie.

Il existe de nombreuses mesures de sécurité que les entreprises peuvent mettre en œuvre. Idéalement, vous devriez regarder des solutions qui couvrent plusieurs angles. Se fier uniquement au chiffrement ou à la pseudonymisation ne le coupera pas.

Nécessité plus d’informations sur le RGDP ? Visitez notre Centre de ressources pour obtenir gratuitement des infographies et des guides téléchargeables.

Partager :