Académique Documents
Professionnel Documents
Culture Documents
Le Règlement Général de la Protection des Données (RGPD) est un acte juridique du Parlement
Européen et du Conseil (règlement (UE) 2016/679) qui a été adopté en avril 2016 et entrera en vigueur
le 25 mai 2018. Le RGPD vise principalement à fournir des règles claires et unifiées sur la protection
renforcée des données propres à l’ère du numérique, de donner aux individus un contrôle plus
important de leurs renseignements personnels traitées par des entreprises, et à faciliter l’application
de la loi. Le RGPD abrogera la loi actuelle (Directive 95/46/CE) adoptée en 1995, qui a été interprétée
de manière incohérente par les différents états membres de l’Union Européenne.
En plus d’harmoniser la Loi de protection des données dans toute l’UE, la nouvelle réglementation
affectera également les compagnies non européennes qui offrent des produits ou services, ou
surveillent le comportement des résidents de l’Union Européenne, et donc traitent leurs données
personnelles. Ceci se rapporte à l’application extraterritoriale de la Loi. En d’autres termes, les
organisations de tous types dans toutes les industries qui sont établies en dehors de l’Union
Européenne, mais y font des affaires seront soumises au respect du RGPD à compter du 25 mai 2018.
La compétence élargie du RGPD est sans doute la plus importante modification de la Directive de
1995. Les autres principes importants exprimés dans le RGPD sont les suivants :
• Étendue des droits des personnes concernées — Ceci comprend, entre autres, le droit
d’accès, le droit à la portabilité des données et le droit à l’effacement des données.
• Notification de violation de données sous 72 heures — Dans le cas d’une violation de
données personnelles, l’organisme concerné doit aviser l’autorité de surveillance au plus tard
72 heures après l’avoir constatée.
• La vie privée dès la conception — Les organismes doivent s’assurer que, tant dans la phase
de planification des activités de transformation que dans la phase de mise en œuvre d’un
nouveau produit ou service, les principes RGPD de protection des données et les sécurités
appropriées sont abordés et mis en œuvre.
• Responsabilité — Un organisme doit assurer et démontrer la conformité avec les principes
RGPD de protection de données.
Les amendes pour non-respect du RGPD dépendent de l’infraction. Dans le cas d’une violation de
données à caractère personnel (définie comme une violation de sécurité menant à la destruction, la
perte, l'altération, la divulgation ou les accès non autorisés, accidentels ou illicites, aux données à
caractère personnel transmises, stockées ou traitées de toute autre manière), l’amende peut se
monter jusqu'à 4 % du chiffre d’affaires mondial annuel de la société ou de € 20 millions, selon ce qui
est le plus élevé. Pour les autres violations des dispositions du RGPD, l’amende est jusqu'à 2 % du
chiffre d’affaires mondial annuel ou € 10 millions, selon ce qui est plus élevé.
RGPD chapitre II
Processus et
Dispositions Comment faire ? catégories de
Reports
Article 5. §1. Utilisez les abonnements du rapport pour définir un
Les données personnelles calendrier approprié pour l’examen des rapports [Catégories de
seront: qui montrent tous les comptes d’utilisateurs en rapports]
l’état présent ou historique des autorisations sur les
(f) traitées d’une
fichiers et les dossiers ; les appartenances États des Comptes
manière qui assure, par
présentes et passées aux groupe, les autorisations États des
l’utilisation de mesures
d’objets accordées aux comptes d’utilisateurs ; les Appartenances de
techniques ou
autorisations d’accès excessives ; les permissions Groupe
organisationnelles
d’interruptions héritées ; et les changements dans Modifications des
appropriées ("intégrité
les attributions de droits d'utilisateur. Appartenances de
et la confidentialité"), la
Groupe
sécurité des données Utilisez les traces d’audit recueillies pour revoir les
personnelles, y compris accès utilisateur au contenu et aux données
Contrôle des Accès
la protection contre le sensibles dans SharePoint, Exchange, Exchange
Accès aux données
traitement non autorisé Online, les serveurs de fichiers Windows, les
ou illégal et contre la périphériques de stockage connectés au réseau, les
Gouvernance des
perte accidentelle, la bases de données et les autres systèmes
données
destruction ou la informatiques. Servez-vous des rapports pour voir
Modifications des
détérioration. toutes les manipulations de données qui ont eu lieu
données
sur un serveur SQL spécifié, y compris les
Surveillance de
modifications apportées aux clés, index, rôles de
l’Intégrité
serveur, connexions et contenu de la base de
Intégrité des Données
données. Examinez les modifications apportées aux
Modification de la
privilèges d’utilisateur, aux rôles, tableaux, vues et
Configuration
déclencheurs, ainsi que des tentatives réussies et
échouées de modifier ou d’accéder à vos données Politique de
structurées dans la Base de Données Oracle. Modification
Article 5. §2.
Le contrôleur est Démontrez l’efficacité de vos contrôles de la [Processus]
responsable de la protection des données au moyen d’une trace La collecte centralisée,
conformité avec le d’audit complète consolidée et maintenue fiable par la consolidation et
paragraphe 1 Netwrix Auditor dans un système de stockage l’archivage d’une trace
(responsabilité) et doit être AuditArchive™ à deux niveaux (basé sur les fichiers complète d’audit sont
en mesure de la prouver. + base de données SQL). possible par la fonction
AuditArchive™ de
Accédez facilement aux données archives d'audits
Netwrix Auditor.
chaque fois que cela est nécessaire pour
l'évaluation de la sécurité, des analyses et
[Catégories de
procédures de conformité, des enquêtes et des
Rapports]
processus de compatibilité.
Trace d'Audit
Obtenez des renseignements importants sur les
actions de l’utilisateur et démontrez l’efficacité de
vos contrôles à l’aide de tableaux de bord et des
rapports prédéfinis. Créer des rapports
personnalisés ou identifiez facilement des données
spécifiques avec la Recherche Interactive.
RGPD chapitre IV
Processus et
Dispositions Comment se Conformer ? Catégories de
Rapport
Article 24. §1.
.. le contrôleur doit mettre Analysez les rapports de Netwrix Auditor exigés [Catégories de
en œuvre les mesures pour obtenir les informations appropriées du Rapport]
techniques et contexte concernant les modifications de Trace d'Audit
organisationnelles configuration du système ainsi que les accès au
appropriées pour assurer système et aux données présentant des menaces
et être en mesure de sur les données à caractère personnel ; utilisez les
démontrer que le rapports pour obtenir des renseignements précieux
traitement est effectué sur les contrôles existants afin de valider ces
conformément au présent contrôles et établir la responsabilité de l’utilisateur
règlement. Ces mesures
doivent être revues et
mises à jour lorsque c’est
nécessaire.
Gouvernance des
Données
Modifications des
Données
Contrôle d'Accès
Gestion de compte
Gestion des identifiants
Gestion des privilèges des utilisateurs
Surveillance de l'Intégrité
Gestion de la Configuration
Gouvernance des données
Trace d'Audit
Les tableaux ci-dessous détaillent les rapports prédéfinis dans chaque catégorie.
Surveillance de l’intégrité
Processus d’exécution de la validation de l’intégrité de données et des configurations par comparaison entre
la situation actuelle et la ligne de base connue et correcte.
Gestion de la configuration
Processus pour les évolutions interdépendantes et les techniques de gestion afin d'évaluer, coordonner et
contrôler les modifications et les configurations de l'état des systèmes d’information.
Trace d’audit
Processus de collecte, de consolidation, de rétention et de traitement des données d’audit.