Protéger les données

Protéger les données

Les questions à se poser

  1. Est-ce que vous intégrez la protection des données dans vos produits, processus et votre structure organisationnelle en pseudonymisant, par exemple, les données personnelles sensibles ou en les cryptant ?
  2. Est-ce que vous limitez les données personnelles au strict nécessaire pour effectuer les opérations, y compris chez vos sous-traitants?
  3. Est-ce que vous avez mis en place des contrôles d’accès aux données et organisé la séparation des tâches ?
  4. Est-ce que vos contrats avec vos fournisseurs de services mentionnent qu’ils ne peuvent utiliser les données que vous leur communiquez seulement pour les traitements convenus avec les personnes concernées?
  5. Est-ce que vous pouvez restaurer les données personnelles perdues en cas d’incidents tels que cyber-attaque, catastrophe naturelle, panne de courant ou problèmes techniques?
  6. Est-ce que vous avez un plan de réponse en cas de fuite de données avec risque élevé d’impact pour les personnes concernées?
  7. Tenez-vous un registre détaillé des violations de données, y compris leur origine, leurs impacts et leurs remèdes?
  8. Testez-vous régulièrement vos mesures de sécurité?

Les obligations GDPR sous-jacentes

  • Privacy by design/default
  • Notification au régulateur (CNPD et CPVP)
  • Communication à la personne concernée
  • Minimisation des données à caractère personnel
  • Pseudonymisation
  • Chiffrement
  • Garantie CIA
  • Procédures de tests
  • PDIA

Les impacts et défis technologiques

  • Mise en conformité des logiciels
  • Mécanisme de détection de fuites
  • Gestion des appareils mobiles
  • Gestion des communications
  • Protections des équipements et gestion des vulnérabilités
  • Gestion des accès, enregistrements et analyse des logs
  • Encryption, certificats, signatures autorisées
  • Monitoring et alerting
Identifier
Protéger
Documenter