Qu’est-ce que le RGPD ?

Le règlement général sur la protection des données de l’Union européenne (RGPD) est un changement historique de la protection des données des consommateurs et de la vie privée. L’objectif du RGPD est simple : renforcer le contrôle des citoyens européens sur les données que les entreprises détiennent à leur sujet. Bien que l’objectif soit simple, s’y conformer n’est pas si simple pour la plupart des entreprises.

Après quatre ans de délibération, la version actuelle du RGPD a été adoptée en avril 2016 et est entrée en vigueur le 25 mai 2018. Mais selon une étude menée par Crowd Research Partners, 60 % des entreprises ne seront pas prêtes pour respecter la date limite de conformité avec la nouvelle législation du RGPD.

Tandis que certaines entreprises ont pris des mesures pour mettre en œuvre les processus et procédures nécessaires pour atteindre, maintenir et prouver la conformité avec le RGPD, de nombreuses entreprises sous-estiment cette tâche et ce qui est nécessaire pour maintenir la conformité. Cela comprend un examen complet de qui a accès à quoi et où se trouvent les données réglementées, ainsi que la possibilité d’effectuer des audits de sécurité requis et de mettre en œuvre des contrôles continus.

85 %

des risques commerciaux peuvent être
liés à seulement 5 % des utilisateurs

+ 20 millions d’euros

en pénalité minimale pour le
non-respect du RGPD

Qui le RGPD affecte-t-il ?

Bien que le règlement ne s’applique qu’aux données des citoyens de l’UE, toutes les entreprises du monde entier qui opèrent dans l’UE ou qui possèdent des sites Web disponibles dans l’UE doivent respecter ces réglementations, l’impact est donc mondial. Cette nouvelle loi entraînera des modifications matérielles sur le mode et le lieu de stockage des données client par les entreprises, et surtout sur la façon dont celles-ci accordent l’accès à ces données aux employés, sous-traitants et partenaires commerciaux.

Mandats et pénalités clés du RGPD en cas de non-conformité

Alors que de nombreuses réglementations industrielles et gouvernementales, telles que la loi sur la portabilité et la responsabilité des assurances maladie (Health Insurance Portability and Accountability Act - HIPPA), la norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard - PCI DSS) et les lois sur la divulgation des données, visent à protéger les informations personnelles identifiables des consommateurs, le RGPD va beaucoup plus loin. Le règlement a été conçu pour harmoniser les lois sur la confidentialité des données en Europe afin de protéger tous les citoyens de l’UE, de leur donner les moyens d’agir et de modifier la manière dont les entreprises opérant dans l’UE abordent la confidentialité des données.

Il exige que les citoyens de l’UE puissent accéder à certains aspects de leurs données et les contrôler , ainsi que la manière dont elles sont traitées, utilisées, effacées et transférées. Les mandats du RGPD comprennent :

  • Des règles strictes pour la protection, la gestion et le contrôle des IPI des citoyens de l’UE ;
  • Changements importants dans la manière dont les entreprises stockent les données des clients et l’endroit où elles les stockent ;
  • Un mandat pour signaler les violations de données dans les 72 heures suivant la découverte ; et
  • Une application plus stricte des obligations de gestion des données d’une entreprise à mesure que ses possibilités de risque s’accroissent.

 

Les pénalités financières en cas de violations de données impliquant des IPI de citoyens de l’UE peuvent atteindre 4 % du chiffre d’affaires annuel de l’entreprise ou 20 millions d’euros, selon le montant le plus élevé. Cela signifie que les défaillances dans les domaines couverts par le RGPD et les failles de sécurité peuvent avoir des conséquences critiques sur le résultat net d’une entreprise. Soyez préparé. Téléchargez le livre électronique de préparation au RGPD de SailPoint ou obtenez la présentation de solution qui propose un guide étape par étape pour se conformer au RGPD.

Get Your Organization Ready for GDPR

OBTENEZ l'eBOOK

Guide étape par étape : Conformité avec le RGPD

DÉCOUVREZ LA PRÉSENTATION DE LA SOLUTION

Autres considérations pour le RGPD

Le RGPD exige non seulement que les entreprises intègrent les autorisations minimales pour les données IPI des citoyens de l’UE, mais aussi qu’elles puissent détecter et corriger immédiatement les violations de cette politique. Les entreprises disposeront désormais d’un délai maximum de 72 heures après avoir pris connaissance de la violation des données pour signaler toute violation de données impliquant des données client et pour informer les personnes en cas d’impact négatif. En outre, le responsable du traitement des données de l’entreprise doit informer le contrôleur sans délai après avoir pris connaissance d’une violation de données à caractère personnel. En raison de ces changements, il est essentiel de pouvoir identifier et protéger toute faille de sécurité dans l’entreprise.

La complexité liée à la gestion des identités en entreprise, à la conformité avec le RGPD et à la protection des données signifie que le moyen le plus efficace est d’automatiser autant d’outils de gestion des identités et des accès que possible. L’automatisation est essentielle lorsque les processus doivent être répétés régulièrement et que les réponses doivent être transmises en temps réel.

Le provisioning et le de-provisioning automatisé des accès sont l’un des seuls moyens par lesquels les entreprises peuvent réellement renforcer les contrôles de sécurité, tout en optimisant leur efficacité. Téléchargez la présentation de solution ci-dessous pour en savoir plus sur notre approche complète axée tant sur les processus et la planification que sur la technologie.

Relève des défis de la conformité avec le RGPD

TÉLÉCHARGEZ LA PRÉSENTATION DE LA SOLUTION

Navigation dans la complexité de la conformité : ce que vous ne pouvez pas voir peut vous coûter cher

LIRE LA SUITE

Comment se conformer au RGPD

Les entreprises doivent suivre plusieurs étapes pour s’assurer qu’elles sont conformes à la norme du RGPD. La première mesure, et la plus importante, à prendre par les entreprises consiste à effectuer un audit complet de la sécurité et une évaluation des risques, et à procéder au mappage de leurs données avec les propriétaires des données dans l’ensemble de leur environnement. Une conformité avec le RGPD réussie exige que chaque entreprise sache qui sont ses utilisateurs, où résident les données sensibles contrôlées par la réglementation, et comment ses données existent.

Une fois les données et les propriétaires identifiés, les entreprises doivent renforcer les contrôles qui déterminent quelles personnes auront accès à des données spécifiques. L’accès aux données doit être contrôlé par les « autorisations minimales », de sorte que seul l’accès aux ressources minimales est autorisé et que l’accès aux données sensibles est très restreint. Ces privilèges d’accès doivent être vérifiés régulièrement.

Il n’est pas impossible que vous vous sentiez d’abord un peu dépassé par les exigences du RGPD, en particulier au vu des pénalités financières en cas de non-respect. Toutefois, le fait de placer la gouvernance des identités au cœur de votre stratégie de sécurité afin de protéger l’accès aux données des clients dans votre entreprise peut contribuer fortement à réduire le risque d’une violation des données et des pénalités qui en découleraient.

Sur le terrain : Le compte à rebours du RGPD

LIRE LA SUITE

Ne sous-estimez pas les exigences du RGPD à venir

LIRE LA SUITE

Comment la gouvernance des identités contribue à assurer la conformité avec le RGPD

Le moyen le plus rentable de respecter et de maintenir la conformité avec le RGPD consiste à faire de la gouvernance des identités la priorité de la stratégie de sécurité et de conformité. Plus précisément, les outils de gouvernance des identités permettent aux entreprises d’évaluer les risques en toute confiance, de renforcer leurs contrôles, de réduire leur vulnérabilité et d’automatiser leurs processus de détection et d’audit. En veillant à ce que seuls ceux qui devraient avoir accès à certaines données puissent réellement accéder à ces données, la gestion des identités augmente la sécurité des applications et des données.

Avec le RGPD, les entreprises doivent prendre en compte un certain nombre de risques pour garantir leur conformité :

  • Découvrez quelles données sont sensibles dans l’ensemble de l’environnement de travail, y compris les données structurées (telles que les données dans des applications et des bases de données) et les données non structurées (telles que dans des documents Word, des feuilles de calcul, des présentations)
  • Sachez où se trouvent ces données (localement ou sur différents services Cloud)
  • Identifiez les données exposées et obsolètes
  • Identifiez les propriétaires des données et leurs autorisations d’accès (y compris les autorisations obsolètes et inutilisées)
  • Surveillez l’activité des utilisateurs pour les demandes inhabituelles

 

En évaluant les risques avec la gouvernance des identités au premier plan, une entreprise peut créer une feuille de route pour hiérarchiser et corriger les lacunes réglementaires les plus pressantes, et donc contrôler et sécuriser efficacement les données de l’entreprise.

De quelle manière notre plateforme Cloud de gouvernance des identités peut aider votre entreprise ?

Nous vous permettons de visualiser et de contrôler l’accès à toutes les applications et données pour tous les utilisateurs, y compris les utilisateurs non humains comme les robots.

DÉCOUVRIR MAINTENANT
Contact SailPoint

Comment SailPoint peut vous aider

Nous aimerions discuter de vos challenges business et vous montrer comment notre plateforme de gestion des identités peut aider à les relever.