Comprendre les droits fondamentaux de la personne concernée et mettre en place votre programme de protection des données avec SOAR

Le Le Règlement général sur la protection des données (RGPD) a récemment célébré son deuxième anniversaire.. De nombreuses organisations semblent encore tâtonner face au RGPD, entré en vigueur il y a deux ans, alors qu'elles commencent à recevoir des demandes de personnes concernées – des individus dont les données personnelles ont été collectées par une organisation. Que faut-il savoir sur ces demandes ? Dans cet article, je présenterai les huit “ droits fondamentaux ” des personnes concernées, tels que définis par le RGPD, et j'aborderai leur impact global sur les organisations, des PME aux grandes entreprises. Les obligations réglementaires et de conformité liées à ces droits étant généralement chronophages et fastidieuses, j'expliquerai comment les organisations peuvent tirer parti d'une solution SOAR (Security Orchestration, Automation and Response) pour gagner en efficacité et garantir leur conformité.

Les 8 droits de la personne concernée

1. Droit d’accès (article 15) : Ce droit ouvre la voie à d'autres droits relatifs aux données, tels que les droits à l'effacement ou à la rectification, mais soulève également d'importantes questions. Premièrement, le responsable du traitement doit indiquer si des données personnelles sont traitées et en informer la personne concernée. Deuxièmement, si tel est le cas, il doit lui fournir diverses informations. Il convient également de prendre en compte les tiers ou sous-traitants qui pourraient être impliqués.
2. Droit à rectification (article 16) : Ce droit garantit à toute personne concernée la possibilité de demander la rectification de données inexactes ou de compléter des données incomplètes.
3. Droit à l’effacement (article 17) : Également connu sous le nom de Droit à l'oubli, Ce droit permet aux personnes concernées de demander au responsable du traitement l'effacement de leurs données personnelles. Le RGPD prévoit des cas spécifiques justifiant un délai excessif pour l'effacement, mais d'autres facteurs, comme une enquête judiciaire, peuvent empêcher l'exercice de ce droit. Il s'agit probablement de l'une des demandes les plus fréquentes auxquelles les organisations sont susceptibles d'être confrontées.
4. Droit à la limitation du traitement (article 18) : Ce droit permet à la personne concernée de demander au responsable du traitement de limiter le traitement de ses données personnelles selon certains critères, par exemple si le responsable du traitement n'a plus besoin des données aux fins du traitement ou si le traitement est illicite, mais que la personne concernée ne souhaite pas exercer son droit à l'effacement. Il convient de noter que le responsable du traitement doit informer la personne concernée de la levée des restrictions de traitement.
5. Droit à l’information (Article 19) : Ce droit énonce plusieurs circonstances dans lesquelles le responsable du traitement est tenu d'informer la personne concernée de l'utilisation de ses données et des destinataires de celles-ci. Ceci permet aux personnes concernées d'être informées et de prendre ainsi une décision éclairée ou d'exercer leurs autres droits.
6. Droit à la portabilité des données (article 20) : Ce droit garantit à la personne concernée la possibilité de demander le transfert de ses données personnelles d'un responsable du traitement à un autre, dans un format lisible et lorsque cela est techniquement possible.
7. Droit d’opposition (article 21) : Si le responsable du traitement refuse la demande d'une personne concernée visant à mettre fin au traitement de ses données, cette personne a le droit de s'opposer à ce refus au titre de l'article 18.
8. Droit relatif à la prise de décision automatisée (article 22) : Ce droit permet à la personne concernée de ne pas faire l’objet de décisions automatisées fondées exclusivement sur un traitement automatisé, y compris le profilage, susceptibles d’avoir un effet juridique ou significatif sur elle. L’article 22 prévoit également des exceptions à ce droit, notamment pour les décisions nécessaires à l’exécution d’un contrat ou autorisées par la loi. Cela peut s’avérer particulièrement complexe pour les organisations, en particulier celles menant des campagnes de marketing ciblé.

Autres considérations

Outre les huit droits fondamentaux de la personne concernée, les organisations doivent tenir compte d'autres droits et considérations. Certaines catégories de données personnelles, dites “ données sensibles ”, font l'objet de considérations particulières. Il s'agit notamment des données relatives aux condamnations pénales et aux infractions (article 10) et des données relatives à un enfant (article 8).

Respectez les délais.

Lorsqu'elles répondent aux demandes des personnes concernées, les organisations doivent connaître les informations qu'elles sont tenues de fournir, confirmer la prise en compte de ces demandes et être en mesure d'expliquer toutes les mesures envisagées. Attention, le temps presse. Le RGPD impose des délais stricts, tant pour répondre aux demandes des personnes concernées (30 jours) que pour signaler une violation de données aux autorités de contrôle (72 heures).

Les organisations qui intègrent leurs processus de conformité à leur plateforme SOAR peuvent facilement suivre ces échéances et utiliser les indicateurs, les rapports et les tableaux de bord SOAR pour garantir le respect des délais de conformité. Outre l'affichage en temps réel des échéances des processus, l'organisation peut utiliser sa plateforme SOAR pour déclencher des tâches automatisées, telles que des notifications et la soumission de rapports, afin de garantir le respect précis et ponctuel des processus.

Mettre en place des ressources clés

Lors de la mise en place de votre programme de protection des données, l'une des premières ressources essentielles est un processus de découverte des données qui identifie et cartographie les informations sensibles tout au long de leur cycle de vie, y compris tout échange d'informations avec des tiers. Un flux de données documenté et une classification des données sont des éléments fondamentaux pour définir les orientations futures.

Une fois les données sensibles de votre organisation identifiées et leur cycle de vie cartographié, l'étape suivante consiste à classifier les systèmes concernés. Cette classification peut s'appuyer sur divers facteurs pour établir les priorités, mais vous pouvez généralement commencer par les facteurs de risque et le niveau de criticité pour l'activité. L'ensemble de ces éléments permettra à votre organisation de prioriser les zones à haut risque nécessitant des contrôles et des protections rigoureux. À mesure que vous développerez ces contrôles et mettrez en œuvre les technologies de soutien à la réduction des risques, les enseignements tirés pourront être appliqués aux processus métier à risque moyen et faible.

La documentation est essentielle pour confirmer que votre organisation est sensibilisée et comprend l'importance de la protection des données. Le changement de culture s'opère lorsque la protection des données n'est plus une simple considération secondaire, mais un élément à prendre en compte lors de toute modification des processus métier, des relations avec les tiers et des données utilisées pour la prise de décision automatisée.

Une fois que votre organisation a établi les bases de son programme de confidentialité et de sécurité des données, veillez à intégrer ces exigences lors des discussions relatives au choix de vos partenaires commerciaux, sous-traitants de données ou autres fournisseurs tiers. Vous pouvez externaliser certains processus métier, mais vous ne pouvez pas nécessairement vous décharger de la responsabilité des risques. Le choix de votre plateforme SOAR peut s'avérer crucial pour la réussite de votre mise en conformité. Utilisez-vous votre plateforme SOAR pour identifier et suivre vos ressources ? Vos contrôles sont-ils suivis et contrôlés par votre plateforme SOAR ? Toute la documentation relative à la conformité est-elle pleinement intégrée à votre plateforme SOAR ? Votre plateforme SOAR crée-t-elle et soumet-elle automatiquement tous les documents et rapports de conformité requis ? Si ce n'est pas le cas, il est peut-être temps de vous interroger sur les raisons de cette absence de réponse.“

D'autres ressources importantes sont les politiques et procédures de soutien à la gouvernance, aux risques et à la conformité. Sans entrer dans les détails, ces documents constituent le premier point de contrôle pour les auditeurs afin de valider la conception et la mise en œuvre des contrôles. L'absence de politiques et de procédures en place est un facteur de non-conformité important. Il convient notamment d'établir une procédure décrivant comment l'organisation reçoit, traite, répond et documente les demandes des personnes concernées.

Enfin, existe-t-il une équipe ou une personne dédiée à la gestion de ces demandes ? Ce rôle étant souvent dévolu aux équipes d'exploitation informatique ou de sécurité (SecOps), il est important d'en évaluer l'impact si cette fonction est secondaire par rapport aux responsabilités principales. Il est essentiel de centraliser la réception et le traitement des demandes afin de ne manquer aucune demande d'information des personnes concernées. Une solution SOAR peut s'avérer très utile dans ce contexte.

Les équipes IT Ops et/ou SecOps n'ont pas besoin d'une nouvelle série de processus fastidieux et manuels qui accaparent le précieux temps dont elles disposent pour accomplir leurs autres missions, notamment la sécurité du réseau de l'organisation. L'automatisation de ces tâches répétitives grâce à une plateforme SOAR contribue à accroître l'efficacité des équipes IT Ops et SecOps et à améliorer la conformité de l'organisation en réduisant, voire en éliminant, le nombre d'incidents à suivre et à signaler. L'organisation peut ainsi démontrer que les contrôles sont effectués, tout en bénéficiant d'une méthode standardisée pour répondre aux demandes et fournir les justificatifs nécessaires.

Vous souhaitez en savoir plus ?

Si vous lisez ceci, votre organisation est probablement submergée par un afflux quotidien d'alertes provenant d'un paysage de menaces en constante évolution et se trouve confrontée à des processus et procédures réglementaires et de conformité complexes. Swimlane peut vous aider ! Visionnez ce webinaire à la demande., “ Rationalisation des exigences en matière de réponse aux incidents et de rapports de conformité ” pour découvrir comment SOAR peut vous aider à automatiser vos rapports de conformité.

Webinaire : Rationalisation des exigences en matière de réponse aux incidents et de rapports de conformité

Alors que les équipes SOC continuent d'atténuer les cybermenaces et de s'y adapter, une chose demeure constante : la réponse aux incidents nécessitera toujours une documentation et un reporting. Dans le secteur de l'énergie, l'une des exigences de conformité courantes est la protection des infrastructures critiques de la North American Electric Reliability Corporation (NERC CIP), un ensemble de normes visant à sécuriser les actifs nécessaires à l'exploitation et à la stabilisation du réseau électrique nord-américain. Dans ce webinaire (replay), Bob Swanson, consultant en recherche sur la conformité, et Jay Spann, expert SOAR, expliquent comment SOAR peut simplifier et faciliter la création de rapports de conformité et de dossiers d'audit. Visionnez-le dès maintenant !

Regardez maintenant