Avec l’avènement du RGPD ou GDPR (General Data Protection Regulation), la protection de la vie privée des personnes redevient un sujet central pour toutes les entreprises. Pour faire suite à son précédent article « Le GDPR, un an après ? », Sofiane Fedaoui, RSSI/CISO de Vialink, propose d’aller plus loin dans l’analyse en étudiant pour nous le concept de « Protection de la vie privée dès la conception » ou « Privacy by Design » et ses applications.
La protection de la vie privée dès la conception ou « Privacy by Design » est un principe simple, introduit par l’Etat de l’Ontario au Canada et plus précisément par Mme Ann Cavoukian, préposée à la protection des données. « Privacy by Design » a pour objectif, et cela dès la conception d’un logiciel ou d’une technologie, d’assurer la protection de la vie privée des personnes.
Il s’articule autour des sept principes suivants :
Pour respecter cela, différentes lignes de conduite doivent être mises en place dans l’entreprise :
« Privacy by Design » vise à agir de manière préventive et proactive mais celle-ci ne doit pas exclure la mise en place d’audits et de contrôles. De la même manière, le CIL/DPO doit déclencher des contrôles réguliers pour s’assurer de la bonne implémentation des exigences liées à la protection des données personnelles.
La mise en place des exigences liées à la protection de la vie privée se traduit généralement par mise en œuvre de solutions techniques.
Tous les contrôles d’accès doivent suivre le modèle suivant :
Le chiffrement reste une solution technique puissante pour la protection des données personnelles. Il faut notamment tenir compte du chiffrement :
Des bases de données
Des stockages fichiers de données
Des solutions de chiffrement de disques durs existent comme LUKS (Linux Unified Key Setup) pour Linux, FileVault sous MAC et BitLocker pour Windows. L’utilisation des HSM reste également possible, des solutions matérielles de chiffrement de stockage existent sur le marché comme le « StorageSecure » de Gemalto.
Tout échange d’information doit au minimum utiliser un protocole assurant, à minima TLS 1.2, la confidentialité et l’intégrité des échanges.
Des solutions de chiffrement de bout en bout sont également disponibles sur le marché comme Tanker qui vient de recevoir la certification CSPN de l‘Agence nationale de la sécurité des systèmes d’information (ANSSI). Le contrôle d’accès doit être un préalable à toute communication.
Les RSSI ou CIL/DPO reçoivent souvent des demandes d’autorisation pour copier les données de production sur d’autres serveurs. L’objectif étant de ne pas bloquer la Direction technique, les RSSI ou CIL/DPO conseillent l’usage de l’anonymisation. Pourtant, une solution d’anonymisation n’est pas toujours simple à mettre en place et elle doit être construite au cas par cas et adaptée aux usages prévus.
Le G29, groupe des CNIL européennes, propose trois critères auxquels se référer lors de la mise en place d’une solution d’anonymisation :
Un ensemble de données pour lequel il n’est possible ni d’individualiser, ni de corréler, ni d’inférer est considéré, à priori, comme anonyme.
Des solutions logicielles existent sur le marché comme « EGERIE PrivacyManager » qui propose une gouvernance de la conformité au GDPR, cette solution est destinée au CIL/DPO.
Microsoft Excel est l’outil généralement utilisé pour assurer et suivre la conformité des traitements en place dans une entreprise vis-à-vis des données à caractère personnel qu’elle récolte auprès de ces clients.
Face à la multiplication des traitements des données par des objets et technologies de tous les jours, des mesures doivent être prises. « Privacy by Design » a pour but d’agir, dès la conception, en réponse aux stratégies de collecte et d’utilisation de données personnelles faites par certains organismes.
Toutes les entreprises doivent faire appliquer ses bonnes pratiques afin de protéger au mieux les données personnelles de ses utilisateurs.
Une analyse recueillie auprès de Sofiane Fedaoui, RSSI/CISO Vialink.
Ces cookies sont strictement nécessaires au bon fonctionnement, à la sécurité du site VIALINK, à détecter la langue de votre navigateur ainsi qu’à la conservation de votre consentement au dépôt des autres catégories de cookies. Ces cookies sont nécessaires et ne peuvent être désactivés.
Cookies déposés par : Cloud Flare, Polylang, Wordpress, Atlassian
Ces cookies de mesure d’audience nécessitent votre consentement pour nous permettre d’établir des statistiques et d’améliorer le fonctionnement des services que nous proposons comme les pages consultées, l’ergonomie de nouvelles versions des pages, tout en améliorant la qualité de nos services.
Ces cookies de Publicité nécessitent votre consentement pour nous permettre de présenter à nos utilisateurs des publicités en fonction de leurs profils.
Cookies déposés par : Youtube