Sommaire
Les outils d’évaluation de l’impact sur la vie privée servent de multiples objectifs dans la sécurité informatique. L’un d’eux est la conformité aux réglementations sectorielles et géographiques. Le règlement général sur la protection des données (RGPD) de l’UE existe pour identifier et minimiser les risques liés aux informations personnellement identifiables (PII) des citoyens de l’UE. Il impose des évaluations de routine à toutes les entités qui interagissent avec les IIP des citoyens européens. Une évaluation de l’impact sur la vie privée, assistée par un outil ou autre, est un moyen de garantir la conformité au RGPD. Pour en savoir plus sur le logiciel pia, cliquez ici.
L’évaluation de l’impact sur la vie privée et le RGPD
En vigueur en 2018 et couvrant les données de chaque citoyen de l’UE, le RGPD représente un changement monumental dans la façon dont les organisations stockent, traitent et partagent les données des consommateurs. Le RGPD comporte des directives et des règles strictes, et il appartient à chaque organisation d’utiliser toutes les ressources disponibles, telles que les outils d’évaluation de l’impact sur la vie privée, pour respecter ces normes. Pour comprendre comment une évaluation de l’impact sur la vie privée axée sur le RGPD peut rationaliser la conformité, considérez :
- quel est le but d’une évaluation de l’impact sur la vie privée ;
- comment une évaluation de l’impact sur la vie privée a un impact sur le travail ?
Travailler avec un conseiller en programme ou un partenaire de conformité est le meilleur moyen de minimiser les risques liés aux données, de réduire la probabilité et l’impact des attaques potentielles et de rationaliser la conformité.
Un guide étape par étape de l’évaluation de l’impact sur la vie privée
Il existe deux principaux moyens de réaliser une évaluation d’impact sur la vie privée pour votre organisation. Les outils automatisés d’évaluation des facteurs relatifs à la vie privée regroupent tous les utilitaires logiciels et solutions matérielles nécessaires en un seul endroit. Cependant, les évaluations manuelles – idéalement menées par des experts qualifiés en conformité avec le RGPD – sont beaucoup plus polyvalentes. Elles emploient souvent une combinaison d’outils et de stratégies d’évaluation de l’impact sur la vie privée pré-assemblés pour une solution plus robuste.
La plupart des experts recommandent une approche par étapes de l’évaluation de l’impact sur la vie privée des données. Le RGPD ne spécifie pas de processus, mais le plan en cinq étapes suivant fournit un exemple d’évaluation d’impact sur la protection des données apte à répondre aux besoins de la plupart des organisations.
Étape 1 : Évaluation initiale
Débutez par une évaluation initiale de l’ensemble de l’organisation, en vous assurant que toutes les données et tous les lieux de stockage des données sont comptabilisés et documentés.
Pour tous les systèmes identifiés, des questions telles que » stocke-t-il, traite-t-il ou transfère-t-il des données provenant de consommateurs de l’UE ? » sont les plus utiles. Si la réponse est oui, alors ils sont probablement liés aux règles et règlements du RGPD.
Même si ce n’est pas le cas, la plupart des organisations sont liées à d’autres efforts de conformité auxquels ces évaluations contribuent, comme la sécurité des données des titulaires de cartes, les garanties pour les informations de santé protégées, ou d’autres codes basés sur l’emplacement.
Étape 2 : Planification du projet
Une fois que votre organisation a déterminé quelles données elle traite qui peuvent être soumises aux protections du RGPD (ou autres), il est temps de déterminer un plan d’action pour évaluer les impacts sur la vie privée. Déléguez les tâches, hiérarchisez les affectations et établissez votre calendrier général entre les évaluateurs internes et les prestataires de services externes.
Par exemple, il peut être bénéfique de créer une liste de contrôle pour chaque catégorie de données à évaluer, les mesures applicables et les protocoles de rapport.
Étape 3 : Évaluation des incidences sur la vie privée
Il est maintenant temps d’effectuer l’évaluation des incidences sur la vie privée elle-même. L’objectif principal à ce stade est d’identifier et de documenter tous les risques qui pourraient avoir un impact sur les droits d’une personne concernée par rapport aux DPI que l’organisation traite. La documentation doit inclure les vulnérabilités et les menaces.
Une vulnérabilité est toute lacune ou tout problème dans le traitement ou les protections de sécurité d’un élément de données donné qu’un acteur malveillant pourrait exploiter. Les menaces comprennent les acteurs qui pourraient exploiter les vulnérabilités, ainsi que les stratégies ou approches probables qu’ils adopteraient pour le faire.
Critiquement, l’évaluation doit également documenter soigneusement les caractéristiques spécifiques de tous les risques et facteurs de risque identifiés, en préparant ces données pour une indexation et des références croisées rapides. L’étape suivante (voir ci-dessous) consistera à comparer les risques pour classer le degré et le type d’impact que chacun d’entre eux pose.
Étape 4 : classement des risques liés à la vie privée
Une fois tous les risques identifiés et inventoriés, il est temps de les classer. Il s’agit d’un processus complexe et hautement personnalisable. Les organisations doivent utiliser n’importe quel paramètre relatif à leurs besoins en matière de protection de la vie privée, aux caractéristiques spécifiques des données traitées et à la manière dont elles sont traitées.
Par exemple, la quantité de données traitées et la variété des processus peuvent présenter des risques inhérents pour les petites organisations ou les organisations en croissance dont les systèmes de sécurité sont moins matures. Mais pour d’autres, les sources spécifiques de données ou leurs caractéristiques (par exemple, des ensembles de données plus longs, plus complexes ou dynamiques) peuvent donner lieu à des profils de risque plus complexes – et à des classements plus élevés, par conséquent.
Dans tous les cas, les risques liés à la confidentialité des données peuvent être classés les uns par rapport aux autres, selon une échelle absolue, ou les deux. L’objectif ultime de cette étape est de hiérarchiser l’ordre dans lequel les risques identifiés seront traités et de définir les approches pour les atténuer, en rendre compte ou les traiter d’une autre manière.
Étape 5 : Rapport et examen du programme
Un rapport officiel est établi à la fin de l’évaluation de l’impact sur la vie privée. Ce document explique l’objectif de l’évaluation des incidences sur la vie privée, les avantages qu’elle présente pour votre organisation et les changements qui ont été ou devront être mis en œuvre pour traiter les risques liés à la confidentialité des données.
Il est important de se rappeler que le processus d’évaluation des incidences sur la vie privée ne s’arrête pas là.
Cette dernière étape conduit à d’autres processus qui traitent tous les risques existants ou potentiels pour la confidentialité des données. Par exemple, si l’évaluation s’est uniquement concentrée sur les risques spécifiques, les prochaines étapes peuvent inclure l’élargissement du champ d’application pour tenir compte des protections d’autres règlements. Ou encore, les organisations peuvent travailler à l’élaboration d’une stratégie et à la mise en œuvre de mesures de protection pour éliminer les risques, comme un chiffrement plus rigoureux ou une gestion de l’identification et de l’authentification.
Travailler avec un fournisseur de services de sécurité gérés avant, pendant et après l’évaluation permettra de garantir un retour sur investissement optimal en matière de sécurité.
Répondre aux normes RGPD avec des évaluations d’impact de routine
Bien que la plupart des outils automatisés d’évaluation de l’impact sur la vie privée incluent les étapes décrites ci-dessus, ils manquent souvent de la flexibilité et de l’évolutivité des évaluations manuelles. C’est pourquoi de nombreux experts préfèrent une évaluation manuelle à un outil automatisé – ou une supervision manuelle pour les évaluations d’impact sur la vie privée assistées par un outil.