Cyber Essential

Que-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD) est une réglementation de l’Union européenne (UE) qui régit strictement les modalités selon lesquelles les entreprises collectent, gèrent et stockent des données à caractère personnel.

Le RGPD vise à doter les citoyens de l’UE d’un contrôle sur les conditions et les finalités de l’utilisation de leurs données à caractère personnel, et à normaliser la réglementation dans toute l’UE en matière de confidentialité des données. Cependant, il convient de noter que si votre entreprise traite des données appartenant à des sujets de l’UE ou de l’Espace économique européen (EEE), vous devez respecter le RGPD, peu importe où se situe son siège.

Raisons de se conformer au RGPD

Les organisations se focalisant sur les aspects contraignants du RGPD, elles tendent à négliger les avantages que son respect comporte pour l’activité.

 

Simplifier les procédures
et les applications

Le fait d’unifier tous vos référentiels de données et d’obtenir une parfaite connaissance du type et de l’objet de la collecte de données permet à votre entreprise de simplifier l’accès aux données et les demandes de modification, d’où une meilleure sécurité.

Acquérir un
avantage concurrentiel

La mise en place de mesures strictes pour protéger les données personnelles montre l’importance accordée à la confidentialité et renforce la confiance du client.

Favoriser une évolution culturelle

La conformité constitue un processus d’amélioration graduel qui instaure une culture de sécurité intrinsèque au sein de votre entreprise.

Comment contribuer à la mise en conformité avec le RGPD ?

Comme il s’agit d’appliquer 99 articles en tout, le respect du RGPD est un processus en plusieurs étapes. Voici une liste de contrôle visant à faciliter les premiers pas.

01Un référentiel central pour enregistrer, afficher, suivre et analyser les données de journal de divers environnements
02Un mécanisme d’alerte en temps réel qui détecte une activité suspecte ayant lieu dans l’environnement informatique de l’entreprise
03Un système d’audit qui assure l’intégrité, la confidentialité et la sécurité des données de journal générées par votre environnement
04Les moyens de protéger les éléments qui contiennent des données à caractère personnel dans l’environnement
05Un système qui crée et gère des archives de toutes les données traitées, avec des rapports détaillés à la demande
06La capacité d’identifier les individus qui accèdent à des comptes privilégiés et des données sensibles
07Une sécurité et un chiffrement adéquats des données à caractère personnel en transit
08Un mécanisme qui identifie, répond à et signale une violation lorsqu’elle se produit
09Un système de surveillance des éléments et des systèmes qui contiennent une forme de données à caractère personnel
10Un outil qui identifie et élimine de manière régulière les vulnérabilités existant dans l’environnement

Comment se mettre en
conformité avec le RGPD ?

 
  •  Article 5
  •  Article 15
  •  Article 16
  •  Article 17
  •  Article 24
  •  Article 25
  •  Article 30
  •  Article 32
  •  Article 33
  •  Article 35

Article 5

Principes relatifs au traitement de données personnelles

 Article 5(1)(b)

Les données à caractère personnel doivent être collectées pour des finalités déterminées et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.

Solutions ManageEngine pour se mettre en conformité :

 
DataSecurity Plus
  • Identifiez les anomalies d’accès aux données, de collecte, de modification et de suppression.
Log360
  • Envoyez des notifications aux autorités concernées en cas d’activité anormale.
Endpoint DLP Plus
  • Exploitez des détails complets sur tous les événements d’accès et de transfert liés à des données sensibles pour l’audit.

 Article 5(1)(c)

Les données à caractère personnel doivent être adéquates, pertinentes et limitées au regard des finalités du traitement.

Solutions ManageEngine pour se mettre en conformité :

 
DataSecurity Plus
  • Recherchez et supprimez les données indésirables comme les fichiers dupliqués, périmés ou orphelins.

 Article 5(1)(d)

Les données à caractère personnel collectées/traitées doivent être exactes et tenues à jour.

Solutions ManageEngine pour se mettre en conformité :

 
Endpoint Central
  • Planifiez des analyses des appareils pour assurer la disponibilité et l’intégrité des données personnelles.
DataSecurity Plus
  • Analysez et supprimez les données obsolètes ou incorrectes.
Log360
  • Vérifiez les bases de données pour déterminer la durée de conservation des données et supprimez celles à caractère personnel une fois le seuil de stockage atteint.
Browser Security Plus
  • Analysez les navigateurs actifs pour veiller à la protection des données personnelles.
Endpoint DLP Plus
  • Collectez rapidement des informations sur les personnes concernées pour modification ou suppression à la demande.

 Article 5(1)(f)

Les données à caractère personnel doivent être traitées de façon à̀ garantir une sécurité́ appropriée, y compris la protection contre le traitement non autorisé ou illicite.

Solutions ManageEngine pour se mettre en conformité :

 
Endpoint Central
  • Assurez le suivi des utilisateurs ou des appareils tentant d’accéder à des services métier ou des données.
Log360
  • Envoyez des alertes en cas de tentatives d’accès non autorisé.
  • Générez des notifications instantanées en cas de modification de fichier sensible.
EventLog Analyzer
  • Vérifiez toute l’activité sur des systèmes contenant des données à caractère personnel et les modifications apportées aux données elles-mêmes.
  • Avertissez les délégués à la protection des données ou les administrateurs de la sécurité en cas d’atteinte à l’intégrité des données à caractère personnel.
DataSecurity Plus
  • Vérifiez les actions de fichier et de dossier et conservez une piste d’audit des accès. Déclenchez des alertes par courrier instantanées aux administrateurs en cas de détection d’action suspecte sur un fichier.
  • Détectez et confinez instantanément les infections de ransomware pour éviter la perte de données.
  • Détectez et empêchez la fuite de fichiers sensibles via des périphériques USB ou par courrier.
Patch Manager Plus
  • Masquez, supprimez et conservez des données d’identification tout en planifiant ou exportant des rapports sur les utilisateurs.
Endpoint DLP Plus
  • Limitez l’accès aux données au personnel clé concerné selon les autorisations de sécurité et les besoins opérationnels.

 Article 5(2)

Il faut être en mesure de démontrer le respect des exigences du RGPD selon les modalités requises.

Solutions ManageEngine pour se mettre en conformité :

 
ADManager Plus
  • Exportez des rapports dans divers formats de fichier ou envoyez-les aux intéressés à des intervalles fixés.
PAM360
  • Obtenez des enregistrements vidéo, des rapports personnalisés et des journaux d’audit pour chaque activité privilégiée.

Article 15

Droit d’accès de la personne concernée

 Article 15(1)

Les personnes concernées ont le droit de s'informer sur le type des données à caractère personnel traitées et la nature des activités effectuées en lien avec ces données.

Solutions ManageEngine pour se mettre en conformité :

 
DataSecurity Plus
  • Analysez qui accède à des données personnelles, ainsi que le moment et le lieu d’utilisation.
  • Localisez les données personnelles d’utilisateurs sur des serveurs de fichiers Windows et dans des environnements de clusters de basculement.
Endpoint DLP Plus
  • Déterminez la localisation des données personnelles et la relation entre les données et les sources, systèmes et utilisateurs correspondants.

 Article 5(3)

Il faut fournir aux personnes concernées une copie de toutes leurs données à caractère personnel collectées pour faire l'objet d'un traitement.

Solutions ManageEngine pour se mettre en conformité :

 
DataSecurity Plus
  • Déterminez l’emplacement où des données personnelles/sensibles sont stockées pour faciliter des processus ultérieurs.
Endpoint DLP Plus
  • Analysez les terminaux du réseau pour localiser toutes les données sensibles de personne concernée.

Article 16

Droit de rectification

 Article 16

Les personnes concernées doivent disposer d’un moyen pratique de rectifier ou mettre à jour leurs données personnelles.

Solutions ManageEngine pour se mettre en conformité :

 
DataSecurity Plus
  • Tenez à jour le registre des données personnelles en analysant le système de fichiers Windows à intervalles réguliers.
Endpoint DLP Plus
  • Analysez, recherchez et extrayez des données personnelles pour une modification rapide à la demande des personnes concernées.

Article 17

Droit d’effacement (droit à l’oubli)

 Article 17

Si une personne concernée demande l’effacement de ses données personnelles, il faut toujours faire en sorte d’y répondre rapidement.

Solutions ManageEngine pour se mettre en conformité :

 
DataSecurity Plus
  • Localisez des fichiers contenant les données de personnes concernées pour traitement ultérieur.
Endpoint DLP Plus
  • Extrayez rapidement des données de personnes concernées pour faciliter leur effacement.

Article 24

Responsabilité du responsable du traitement

 Article 24(1)

Il faut mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer que le traitement est effectué́ conformément au RGPD.

Solutions ManageEngine pour se mettre en conformité :

 
Endpoint Central
  • Contrôlez régulièrement si les ressources de l’entreprise restent conformes aux configurations générales applicables.
  • Diffusez en toute sécurité des documents commerciaux sensibles aux individus et aux applications autorisés.
ADManager Plus
  • Envoyez des rapports ou exportez-les au besoin pour des examens et des évaluations de sécurité.
Endpoint DLP Plus
  • Générez des rapports complets d’analyse décisionnelle pour l’audit des données sensibles et des stratégies applicables.

 Article 24(2)

Il faut mettre en œuvre des politiques appropriées en matière de protection des données pour protéger les droits des personnes concernées.

Solutions ManageEngine pour se mettre en conformité :

 
DataSecurity Plus
  • Empêchez les transferts de données non approuvés vers des périphériques USB avec des stratégies prédéfinies.
  • Utilisez des mécanismes de réaction automatique aux menaces pour arrêter les systèmes infectés et fermer les sessions d’utilisateurs non autorisés.
Endpoint DLP Plus
  • Configurez des stratégies pour limiter le déplacement de données sensibles vers des périphériques, les pièces jointes ou la publication sur le Web.

Article 25

Protection des données par nature et par défaut

 Article 25(2)

Les données à caractère personnel ne doivent être traitées que dans le cadre de la finalité de leur collecte et ne doivent être rendues accessibles qu’à ceux directement impliqués dans ces opérations.

Solutions ManageEngine pour se mettre en conformité :

 
Endpoint Central
  • Maintenez l’isolement des données à caractère personnel et professionnel sur les appareils mobiles.
  • Supprimez les données à caractère personnel des utilisateurs de vos serveurs et révoquez l’accès à ces données.
Password Manager Pro
  • Empêchez des utilisateurs non autorisés d’exploiter un accès privilégié à des référentiels de données à caractère personnel.
ADManager Plus
  • Vérifiez les événements de modification d’autorisations pour identifier des modifications non autorisées liées à des données à caractère personnel.
DataSecurity Plus
  • Recherchez les utilisateurs ayant un accès de contrôle total à des partages Windows et localisez tous les fichiers et les dossiers partagés avec tout le monde.
PAM360
  • Veillez à ce que seuls les utilisateurs autorisés puissent accéder aux données sensibles pendant une période donnée.

Article 30

Registre des activités de traitement

 Article 30(1)

Il faut tenir en permanence un registre de toutes les activités de traitement effectuées avec des détails sur leurs finalités, les catégories de données traitées et les mesures de sécurité́ prises lors du traitement.

Solutions ManageEngine pour se mettre en conformité :

 
DataSecurity Plus
  • Localisez les instances de données personnelles sensibles stockées sur des serveurs de fichiers Windows et des clusters de basculement.
  • Déterminez les autorisations des utilisateurs sur les fichiers contenant des données personnelles sensibles et vérifiez leur activité.
PAM360
  • Obtenez des journaux d’audit contextuels, des rapports prêts à l’emploi et des enregistrements de session pour toute l’activité réalisée sur les référentiels de données à caractère personnel.
Patch Manager Plus
  • Tenez un registre de toute l’activité de traitement effectuée et affichez-le.
ADManager Plus
  • Obtenez une piste d’audit complète de toute l’activité liée à des données à caractère personnel.
Endpoint Central
  • Tenez un registre de toutes les opérations de traitement comme l’exige le RGPD.
Endpoint DLP Plus
  • Vérifiez les données sensibles et les stratégies applicables pour éviter leur divulgation.

Article 32

Sécurité du traitement

 Article 32(1)(a)

Il faut assurer la confidentialité de tous les systèmes de traitement et le chiffrement des données à caractère personnel en mettant en œuvre les mesures appropriées.

Solutions ManageEngine pour se mettre en conformité :

 
Key Manager Plus
  • Protégez les données en transit et analysez et gérez facilement l’infrastructure de clés publiques.
Endpoint Central
  • Chiffrez les données à caractère personnel résidant sur des appareils mobiles.

 Article 32(1)(b)

Il faut garantir la confidentialité́, l’intégrité́ et la disponibilité́ des systèmes et des services de traitement.

Solutions ManageEngine pour se mettre en conformité :

 
Key Manager Plus
  • Protégez et chiffrez l’accès aux données à caractère personnel des personnes concernées.
DataSecurity Plus
  • Suivez et vérifiez en permanence les systèmes de stockage qui contiennent des données à caractère personnel.
Log360
  • Détectez les tentatives d’accès non autorisé et les anomalies que présente l’activité des utilisateurs dans des systèmes ou services.
ADAudit Plus
  • Vérifiez et envoyez des alertes en temps réel en cas de modification de ressources vitales.
  • Détectez les tentatives d’accès non autorisé et les anomalies que présente l’activité des utilisateurs dans des systèmes ou services.
PAM360
  • Permettez aux utilisateurs autorisés de se connecter à des ressources vitales à distance en toute sécurité sans exposer de mot de passe.
Vulnerability Manager Plus
  • Détectez les systèmes sans chiffrement BitLocker et chiffrez des volumes de disque entiers.
Endpoint DLP Plus
  • Limitez l'exposition de données confidentielles en restreignant l’accès au seul personnel concerné selon les autorisations de sécurité.

 Article 32(1)(d)

Il faut mettre en œuvre des mesures préventives pour les risques que présente le traitement des données, notamment la destruction, la perte, l'altération ou la divulgation de données à caractère personnel.

Solutions ManageEngine pour se mettre en conformité :

 
Endpoint Central
  • Vérifiez régulièrement que les appareils de l’organisation restent conformes.
Password Manager Pro
  • Empêchez des attaquants d’exploiter l’accès privilégié aux données personnelles collectées.
Log360
  • Assurez la sécurité du traitement en surveillant d’éventuelles anomalies risquant d’entraîner une violation de données.
EventLog Analyzer
  • Vérifiez toute l’activité sur des systèmes contenant des données à caractère personnel et les modifications apportées aux données elles-mêmes.
PAM360
  • Analysez et vérifiez l’activité privilégiée sur des systèmes sensibles et arrêtez les sessions anormales.
Vulnerability Manager Plus
  • Analysez les erreurs de configuration des terminaux et corrigez-les.
Endpoint DLP Plus
  • Déployez des stratégies de prévention de la perte de données pour maintenir des mesures de sécurité même hors ligne.

 Article 32(2)

Il faut mettre en œuvre des mesures préventives pour les risques que présente le traitement des données, notamment la destruction, la perte, l'altération ou la divulgation de données à caractère personnel.

Solutions ManageEngine pour se mettre en conformité :

 
Endpoint Central
  • Établissez des alertes en cas de non-vérification d’un appareil par le serveur au cours d’une période prédéfinie.
Log360
  • Centralisez et corrélez les données de sécurité pour identifier instantanément d’éventuelles violations.
  • Vérifiez les mises à jour apportées à des données personnelles (modification, suppression, changement de nom, voire modification d’autorisations).
DataSecurity Plus
  • Analysez l’utilisation de périphériques USB et bloquez le déplacement de données personnelles vers ceux-ci ou en pièce jointe par courrier.
  • Réduisez les délais de réponse aux incidents avec des alertes instantanées et un mécanisme de réaction automatique aux menaces.
  • Générez des alertes et des rapports sur les accès non autorisés ou des pics soudains d’ouverture de fichiers et de modification.
  • Tenez un registre de toutes les actions de suppression de fichier/dossier et détectez et mettez en quarantaine les infections de ransomware.
Patch Manager Plus
  • Établissez des alertes en cas de non-vérification d’un appareil par le serveur au cours d’une période prédéfinie.
Endpoint DLP Plus
  • Configurez des stratégies pour limiter le déplacement de données sensibles vers des périphériques.

 Article 32(4)

Il faut prendre des mesures pour garantir que personne ne traite des données à caractère personnel ou n’y ait accès de manière non autorisée ou illicite.

Solutions ManageEngine pour se mettre en conformité :

 
Password Manager Pro
  • Gérez, suivez et vérifiez l’accès administratif à des systèmes et des applications qui traitent des données personnelles.
Log360 and ADManager Plus
  • Détectez lorsque des utilisateurs accèdent à des données personnelles sans les autorisations requises.
PAM360
  • Fournissez un accès privilégié juste-à-temps à durée limitée aux systèmes et applications sensibles.
Patch Manager Plus
  • Configurez un accès basé sur le rôle pour le traitement d’activités sur des appareils affectés.
M365 Manager Plus
  • Établissez un contrôle d’accès basé sur le rôle pour l’administration Microsoft 365.

Article 33

Notification à l'autorité de contrôle d'une violation de données à caractère personnel

 Article 33

En cas de violation de données à caractère personnel, il faut notifier la violation en question à l’autorité́ de contrôle compétente dans un délai de 72 heures. Si la notification à l’autorité́ de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

Solutions ManageEngine pour se mettre en conformité :

 
Log360
  • Détectez instantanément toute violation de données dans votre réseau.
  • Décelez et confinez les modèles d’attaque de type DoS, DDoS, injection SQL et ransomware.
  • Créez des règles de corrélation et des profils d’alerte personnalisés pour détecter les modèles d’attaque inconnus.
  • Déterminez, en cas de violation, sa source, les parties responsables et l’impact.
  • Exportez tous les détails d’examen forensique et élaborez des rapports sur les incidents.
Password Manager Pro
  • Enregistrez l’accès à un compte privilégié et les sessions.
DataSecurity Plus
  • Analysez la cause première et l’étendue d’une violation de données grâce aux journaux d’activité.
PAM360
  • Obtenez des enregistrements de session privilégiée infalsifiables et des journaux d’audit de chaque session.
Endpoint DLP Plus
  • Tenez un registre des événements d’accès et de transfert de données avec des détails sur l’utilisateur, l’ordinateur et le support.

Article 35

Analyse de l'impact sur la protection des données

 Article 35

Il faut effectuer une analyse de l'impact sur la protection des données et mettre en place des mesures de sécurité pour protéger les données à caractère personnel traitées.

Solutions ManageEngine pour se mettre en conformité :

 
DataSecurity Plus
  • Calculez l’indice de risque des fichiers contenant des données personnelles.
  • Identifiez les fichiers vulnérables du fait de problèmes de protection des autorisations.

Obtenir des conseils sur la conformité avec le RGPD

Discutez avec nos experts pour en savoir plus sur la façon dont votre organisation
peut respecter les exigences de conformité du RGPD.

Nom*Entrez votre Nom
Adresse électronique*
Numéro de téléphone*Entrez votre numéro de téléphone
Pays*

En cliquant sur Envoyer, vous acceptez le traitement de vos données à caractère personnel selon la Politique de confidentialité.

Disclaimer

Exclusion de responsabilité : Le plein respect du RGPD exige une diversité de solutions, de procédures, de rôles et de technologies. Les moyens mentionnés ci-dessus permettent de répondre à certaines exigences du RGPD avec des outils de gestion informatique. De concert avec les solutions, les procédures et les équipes requises, les produits de ManageEngine aident à mettre et à rester en conformité avec le RGPD. Ce document fourni à titre informatif uniquement ne constitue pas des conseils juridiques pour le respect du RGPD. ManageEngine ne consent aucune garantie, expresse, implicite ou légale, quant aux informations contenues dans le présent document.