Les informations personnelles identifiables (PII) sont toutes les données qui peuvent être utilisées pour identifier directement ou indirectement un individu. Les exemples sont les noms, les numéros de sécurité sociale, les informations de carte de crédit, les adresses IP, les détails de la licence et les détails biométriques. Plusieurs réglementations sur la protection des données, telles que le RGPD et le CCPA, appliquent des directives strictes sur la manière dont les informations personnelles doivent être collectées, stockées, traitées et effacées dans le but de fournir aux clients plus de visibilité et de contrôle sur la manière dont leurs données personnelles sont utilisées.
Utilisez notre liste de contrôle ci-dessous pour un aperçu rapide de toutes les étapes nécessaires pour respecter les réglementations de conformité qui imposent la protection des données personnelles.
| Que faire | Comment le réaliser |
|---|---|
| Découvrir la présence de PII | Faites correspondre des expressions régulières, des ensembles de mots-clés ou une combinaison des deux pour localiser les PII |
| Exécuter périodiquement des analyses de découverte de données | Utiliser une méthodologie d'analyse distribuée et incrémentielle pour réduire la charge sur le processeur |
| Réduire les faux positifs dans les analyses de découverte de données | Utiliser le traitement des termes composés et la numérisation de proximité pour augmenter la précision de la recherche de PII |
| Trouver des informations personnelles stockées dans un format non lisible par machine, comme des images et des notes manuscrites | Utiliser la technologie de reconnaissance optique de caractères (OCR) |
| Trouver diverses catégories spéciales de données personnelles stockées telles que celles contenant des antécédents médicaux, des opinions politiques, des croyances religieuses et l'orientation sexuelle | Personnaliser les règles de découverte des données pour localiser des catégories spéciales de données sensibles |
| Classer les PII découverts | Utiliser les capacités de classification automatisées et manuelles |
| Créer une carte d'inventaire des données | Parcourir tous les référentiels de données, y compris les serveurs de fichiers, les bases de données, les applications cloud, etc., pour rédiger des enregistrements détaillés sur les types de données personnelles stockées et leur emplacement. |
| Catégoriser les données personnelles trouvées à l'aide de la taxonomie de classification | Utilisez une taxonomie avec au moins trois niveaux de sensibilité, c'est-à-dire faible, modéré et élevé, pour séparer les fichiers contenant des PII |
| Créer des politiques basées sur la conformité | Trouver et maintenir une liste détaillée des PII qui relèvent de diverses réglementations sur la protection des données |
| Que faire | Comment le réaliser |
|---|---|
| Analyser les niveaux d'accès et mettre en œuvre le principe du moindre privilège sur les fichiers contenant des PII | Fournir uniquement les autorisations minimales requises par les utilisateurs pour leurs opérations quotidiennes sur les fichiers et dossiers contenant des données personnelles |
| Exécuter une évaluation de l'impact sur la protection des données | Identifier et minimiser périodiquement les risques de sécurité résultant du traitement des informations personnelles stockées |
| Supprimer les PII obsolètes, c'est-à-dire les données personnelles stockées au-delà de leur utilité | Identifier et archiver les fichiers anciens et obsolètes contenant des PII qui ne sont plus utilisés |
| Affecter une personne directement responsable (DRI) chargée de sécuriser les PII | Donner à votre DRI les moyens d'examiner l'utilisation des PII et d'apporter des modifications aux processus et aux normes qui contribuent à les sécuriser |
| Effectuer une évaluation périodique de la vulnérabilité | Identifier les lacunes de votre infrastructure de sécurité, y compris les serveurs non corrigés, les pare-feu faibles, etc. |
| Évaluer la base légale du traitement pour toutes les PII | Maintenir des enregistrements clairs et détaillés de toutes les activités de traitement de données sur les PII stockées et la justification légale pertinente |
| Que faire | Comment le réaliser |
|---|---|
| Créer une politique d'utilisation des données acceptable | Indiquer clairement qui a un besoin légitime d'accéder aux fichiers et dossiers contenant des PII et comment les PII peuvent être utilisées |
| Maintenir des pistes d'audit détaillées | Auditer tous les accès et modifications de fichiers avec des informations détaillées sur qui a accédé à quoi, quand et d'où |
| Accroître la sensibilisation des employés à l'importance de la conformité aux mandats réglementaires | Mener une formation périodique de sensibilisation à la sécurité centrée sur la protection des PII |
| Faciliter les demandes d'accès des personnes concernées | Assurer que des processus adéquats sont en place pour identifier et répondre aux demandes des personnes concernées pour :
Et plus |
| Adopter une politique de notification des violations de données | Concevoir des dispositions pour notifier et communiquer une violation de données à caractère personnel à l'autorité de contrôle et aux personnes concernées |
| Créer une carte de flux de données PII | Suivre et examiner le mouvement des fichiers et dossiers contenant des PII |
| Appliquer la minimisation des données | Limiter la collecte, le stockage et le traitement des données à ce qui est strictement nécessaire aux opérations commerciales |
| Maintenir un addendum crédible sur le traitement des données | Examiner et mettre à jour périodiquement les accords de traitement des données conclus avec vos sous-traitants |
| Que faire | Comment le réaliser |
|---|---|
| Anonymiser et sécuriser les données critiques de l'entreprise sous toutes ses formes | Crypter, pseudonymiser ou anonymiser les données personnelles sensibles en mouvement, au repos et dans la mesure du possible pour éliminer le risque d'exposition indésirable |
| Utiliser un mécanisme de réponse rapide aux incidents | Déployer un mécanisme proactif de détection et de correction des menaces de sécurité pour détecter et arrêter les accès inhabituels et les modifications des PII |
| Gérer les accès indésirables aux données critiques | Sécuriser l'accès aux ordinateurs et aux serveurs qui stockent les PII avec une authentification multifacteur |
| Assurer l'intégrité des fichiers | Maintenir l'intégrité des données personnelles stockées en surveillant toutes les modifications qui y sont apportées 24h/24 et 7j/7 |
| Empêcher la fuite de PII | Utiliser une solution DLP entièrement intégrée qui aidera à protéger les données hautement confidentielles au repos, en cours d'utilisation et en mouvement contre le vol, la fuite et l'exposition |
| Sécuriser le transfert de PII vers des pays tiers et des organisations internationales | Assurer des sauvegardes opérationnelles appropriées pour la diffusion des fichiers et dossiers critiques à la fois à l'intérieur et à l'extérieur de l'organisation |
| Sécuriser les données contre les attaques de logiciels malveillants | Détecter et arrêter les attaques de logiciels malveillants dès leur apparition grâce à un logiciel anti-malware complet |
Clause de non- responsabilité : se conformer pleinement à toute réglementation en matière de protection des données nécessite une variété de solutions, de processus, de personnes et de technologies. Cette page est fournie à titre informatif uniquement et ne doit pas être considérée comme un avis juridique. ManageEngine n'offre aucune garantie, expresse, implicite ou statutaire, quant aux informations contenues dans ce document.