Home | Community Forum | Blog

NextLabs et le GDPR

La plateforme de politiques basée sur les attributs de NextLabs sécurise les informations personnelles sensibles au niveau des données, qu’elles se trouvent à l’intérieur ou à l’extérieur de votre organisation, dans des formats structurés ou non structurés, ou dans des applications, le cloud ou des appareils mobiles. Les solutions de NextLabs vous aident à automatiser l’application cohérente des politiques de conformité et de sécurité liées au RGPD à travers l’entreprise pour protéger les informations personnellement identifiables (PII); surveiller et contrôler l’accès aux PII; et prévenir les violations de sécurité causées par le partage d’informations, les violations externes et les abus internes.

Selon le GDPR, les personnes concernées ont le droit de : 

  • Accéder aux données personnelles collectées sur elles et comprendre comment elles ont été traitées et distribuées 
  • Rectifier les données personnelles incorrectes 
  • Effacer leurs données personnelles (le « droit à l’oubli ») 
  • Restreindre l’utilisation de leurs données personnelles 
  • Recevoir les données qu’elles ont fournies précédemment 
  • Être informées « sans retard injustifié » lorsque leurs données personnelles sont impliquées dans une violation susceptible de présenter un risque élevé pour leurs « droits et libertés » 

Assurez les droits étendus des personnes concernées 

Si votre organisation collecte, traite et/ou contrôle les données personnelles des personnes résidant dans l’Union européenne (UE), vous êtes certainement conscient le General Data Protection Regulation (GDPR). Il s’agit du changement le plus important en matière de confidentialité des données depuis 20 ans, et la non-conformité peut entraîner des sanctions, des amendes (jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le montant le plus élevé), des dommages à la réputation et des réclamations privées individuelles. 

Le GDPR protège les droits des résidents de l’UE (tant les citoyens que les non-citoyens) de déterminer si, quand, comment et à qui leurs informations personnelles sont divulguées et comment elles peuvent être utilisées. Le règlement étend la protection aux catégories spéciales de données personnelles telles que l’origine raciale, la religion, les croyances politiques, les données génétiques/biométriques/sanitaires, l’orientation sexuelle, et plus encore. 

Die Datenschutz-Grundverordnung schützt die Rechte der in der EU ansässigen Personen (sowohl Bürger als auch Nicht-Bürger), zu bestimmen, ob, wann, wie und an wen ihre personenbezogenen Daten weitergegeben werden und wie sie verwendet werden können. Die Verordnung erweitert den Schutz für besondere Kategorien personenbezogener Daten wie rassische Herkunft, Religion, politische Überzeugungen, genetische/biometrische/gesundheitliche Daten, sexuelle Orientierung und mehr. 

Impact du GDPR sur l'IT, la sécurité et la conformité 

Pour répondre à toutes les exigences spécifiées dans le règlement (y compris les droits étendus des personnes concernées), les responsables IT, de la sécurité et de la conformité doivent être capables de : 

  • Identifier et classifier toutes les sources de données personnelles que l’organisation a sous son contrôle, et savoir où se trouvent ces données à tout moment 
  • Contrôler l’accès aux données personnelles, afin que seules les personnes autorisées puissent les consulter ou effectuer des actions sur elles 
  • Documenter la conformité avec le RGPD, et disposer d’une piste d’audit indiquant comment, quand et où les données personnelles sont utilisées – à la fois à l’intérieur et à l’extérieur de l’organisation 

Pour assurer une conformité totale avec le GDPR, les organisations ont besoin d’un système capable d’automatiser l’application des politiques afin d’éliminer tout risque d’erreur humaine. La solution doit également maintenir les attributs des utilisateurs à jour sans intervention humaine. Afin de protéger adéquatement le PII, les données doivent être sécurisées directement, protégeant les données partagées à travers l’entreprise étendue (clients, partenaires, fournisseurs de services, utilisateurs) et quel que soit l’appareil utilisé pour y accéder. 

NextLabs a intégré ces capacités dans ses solutions de protection des données et de sécurité des applications. Par défaut, NextLabs offre la « protection des données dès la conception et par défaut » requise par l’article 25 du GDPR.

Identifier et classifier les données personnelles 

Classifier correctement les données est essentiel pour assurer une protection adéquate des PII. Il est impossible de répondre aux demandes des personnes concernées d’accéder, de rectifier, d’effacer, de restreindre et de recevoir leurs données personnelles si vous ne savez pas d’abord précisément quelles données sont sensibles et où elles se trouvent – à l’intérieur et à l’extérieur de l’organisation, qu’elles soient sur site ou dans le cloud. 

Outre le suivi de l’emplacement de PII, la classification des données vous permet également de définir les actions que les gens peuvent entreprendre lorsqu’ils y accèdent. Vous pouvez définir des politiques d’accès et d’utilisation associées à chaque type de classification. 

NextLabs fonctionne avec tout type de fichier et classe automatiquement de grands référentiels de fichiers en fonction de vos règles prédéfinies, mots-clés et métadonnées. Par exemple, parce que le GDPR impose des restrictions sur la gestion des PII en ce qui concerne les enfants, vous voudrez suivre l’âge des personnes concernées et définir les actions autorisées sur les données. (Notez que vous pouvez classer les données personnelles par n’importe laquelle des catégories protégées, que ce soit la religion, le sexe, ou autre.) NextLabs peut catégoriser les données personnelles qu’elles se trouvent dans des formats de données structurés ou non structurés. Il peut également : 

  • Effectuer automatiquement une classification par lots en fonction de vos règles, en utilisant l’analyse de contenu pour rechercher les mots-clés et métadonnées souhaités 
  • Appliquer une protection basée sur des règles aux fichiers sensibles 
  • Scanner les changements incrémentiels à des intervalles de temps que vous spécifiez, pour s’assurer que les données sont toujours correctement classifiées 
  • Gérer centralement vos règles, et créer des rapports pour montrer comment votre organisation distribue et stocke les données personnelles 

Control Access to Personal Data

Dans l’entreprise étendue, où nous partageons des données sensibles entre organisations, sur des systèmes externes, et avec des utilisateurs et appareils inconnus, mettre en œuvre des politiques d’autorisation de manière cohérente peut sembler un défi impossible. Dans un scénario typique, chaque application et système en silo possède des politiques d’autorisation redondantes, difficiles à changer et coûteuses à maintenir. La gestion centralisée des politiques de NextLabs accélère la protection des données et la conformité. 

La plateforme NextLabs est consciente de l’identité, du contenu et du contexte. Elle applique automatiquement des protections aux données en fonction de leur contenu, plutôt que de compter sur les utilisateurs finaux pour appliquer manuellement des politiques à chaque document. 

Le système prend des décisions d’autorisation en temps réel, en utilisant des informations contextuelles — ou attributs — sur l’utilisateur (par exemple, titre, département, projet), les données (classification, catégorie, type, contenu) et l’environnement (appareil, localisation, heure de la journée). Cela permet des décisions fines pour garantir que seules les bonnes personnes accèdent aux informations sensibles. 

Ces protections des données sont persistantes. NextLabs sécurise les informations personnelles sensibles au niveau des données, que ces données se trouvent à l’intérieur ou à l’extérieur de votre organisation, dans des formats structurés ou non structurés, ou dans des applications, le cloud ou des appareils mobiles. De plus, vous pouvez : 

  • Masquer, supprimer et expurger des champs pour se conformer à l’article 9 (protection accrue des catégories spéciales de PII) 
  • Filtrer les données afin que les utilisateurs ne voient que les informations qu’ils sont autorisés à voir 
  • Satisfaire une demande de droit à l’oubli d’une personne concernée en définissant des attributs pour une période de temps spécifique/date de fin (suivie par la suppression ou l’impossibilité d’accès) 
  • Chiffrer les données afin que les PII soient protégées en toute sécurité, même en cas de violation 
  • Séparer les données afin que seules les personnes ayant les droits puissent voir les données 
  • Protéger à travers plusieurs systèmes en fonction des mêmes attributs utilisateur 

Documenter la conformité au GDPR 

Le GDPR exige que les organisations signalent les violations de données à l’autorité de surveillance dans les 72 heures, et qu’elles indiquent quelles données ont été compromises et combien de personnes concernées ont été affectées. De plus, vous devez être en mesure de démontrer la conformité à tous les articles pertinents du GDPR et de vérifier que vos partenaires de la chaîne de valeur sont également en conformité. 

Une complication supplémentaire pour la conformité est que les pays de l’UE peuvent avoir d’autres réglementations de protection des données en plus du mandat du GDPR, ce qui rend l’adhésion aux réglementations transfrontalières plus complexe. Les politiques fines de NextLabs peuvent tenir compte des différences locales ou spécifiques à un pays et accorder des droits d’accès en conséquence, rendant le processus rationalisé et facile à appliquer. 

NextLabs vous aide à vous conformer au GDPR et à documenter votre conformité en centralisant la gestion des politiques avec une visibilité et un contrôle complets. Les organisations peuvent contrôler de manière centralisée la création, l’application et la gestion des politiques de sécurité dans toutes les applications et systèmes, en veillant à ce que les politiques soient alignées avec les objectifs commerciaux et appliquées de manière cohérente à travers l’entreprise. 

La surveillance et les rapports complets sur l’activité des utilisateurs et l’accès aux données offrent des capacités d’audit et de conformité améliorées et permettent aux organisations de détecter les anomalies dans les modèles d’accès et d’alerter les administrateurs en cas de comportement suspect, même avant qu’une violation ne se produise. La plateforme NextLabs fournit une surveillance et une journalisation des événements en continu dans toute votre entreprise étendue, de sorte que les utilisateurs ayant les accès appropriés puissent voir : 

  • Modèles d’utilisation 
  • Décisions d’autorisation 
  • Analyse des tendances 
  • Pistes d’audit pour toute utilisation des données 

Comment NextLabs assure la conformité au GDPR 

Mettre en place des outils et des processus de sécurité des données ne garantit pas que l’organisation protège réellement les données sensibles au degré requis par le GDPR. NextLabs assure une conformité complète au GDPR grâce à sa protection automatisée, intégrée et omniprésente de PII : 

  • Les politiques GDPR sont créées et gérées sur une seule plateforme, et sont appliquées de manière cohérente et automatique à travers l’entreprise. Les organisations ont une visibilité complète sur les politiques appliquées. 
  • La protection des PII est omniprésente, peu importe où les données résident : cloud, ordinateurs portables, appareils mobiles ou serveurs de fichiers. La protection des données est persistante tout au long du cycle de vie, peu importe où elles vont. 
  • Les politiques sont facilement modifiées ou mises à jour et le système applique automatiquement les nouvelles politiques à travers l’entreprise étendue. 
  • Lorsque le statut des utilisateurs change (par exemple, les membres de l’équipe quittent un projet), le système prend automatiquement en compte les changements de statut lors de l’évaluation des demandes d’accès afin que les informations les plus récentes soient utilisées pour déterminer si l’accès doit être accordé. 
  • La visibilité et les rapports centralisés fournissent une vue en temps réel de l’accès et de l’utilisation des données, peu importe où les données vont. 

To comment on this post
Login to NextLabs Community

NextLabs seeks to provide helpful resources and easy to digest information on data-centric security related topics. To discuss and share insights on this resource with peers in the data security field, join the NextLabs community.