L’Outil Surpuissant pour Exploser ton Chiffre d'Affaires en 2024 !
Conformité GDPR – Cryptage – Blogs insuffisants
Le 25 mai 2018, tout le monde s'est réveillé et s'est rendu compte que sa boîte de réception était «spammée» avec des courriers d'entreprises demandant de redéfinir leurs politiques de confidentialité des données contenant le terme GDPR. Chaque site auquel on s'est connecté avait une fenêtre contextuelle intitulée «Nous avons mis à jour notre politique de confidentialité des données». Donc, de quoi s'agit-il?
Petit mot, grand impact
Il s'agit du petit mot de quatre lettres «GD-P -R» qui pourrait coûter des millions de dollars à une entreprise.
Oui, vous lire ce droit.
Le GDPR, qui signifie Règlement général sur la protection des données, a remplacé les règles existantes de la directive sur la protection des données. Il vise à établir des règles uniformes en matière de confidentialité des données afin de donner à tous les citoyens de l'Union européenne (UE) le droit à leurs données personnelles. Bien que les clients soient satisfaits, les entreprises doivent s’inquiéter. Les entreprises doivent désormais redéfinir les méthodes de collecte et de stockage des informations clients. Le GDPR s’applique à toutes les entreprises qui traitent des données de citoyens de l’UE, quel que soit leur emplacement. En cas de non-respect, cela pourrait leur coûter 4% de leur chiffre d'affaires global annuel ou 20 millions d'euros, le montant le plus élevé étant retenu.
PII – Protection des données
Les données personnelles (PII – Informations personnelles identifiables) font référence à à toute information permettant d’identifier une personne physique. Les tiers utilisent les données des clients pour tirer de nouvelles informations et étudier les tendances marketing. Ces données subissent diverses actions et sont appelées «données traitées». Des techniques efficaces de protection des données appliquées aux données à caractère personnel les sécurisent
La protection des données a pour but d’aider les ‘processeurs de données 'à rester en conformité. Nulle part dans les articles du GDPR, le chiffrement est nécessaire, mais la mise en œuvre de telles mesures peut réduire le risque de violation des données. En cas de violation, il n'est pas nécessaire d'informer les personnes concernées si les mesures de protection des données appropriées ont été appliquées . Cela ne s'applique que si les données sont insuffisantes pour permettre la réduction à zéro d'un individu. Même si l’organisation concernée doit informer au plus tôt le responsable de la protection des données (DPO).
Méthodes de chiffrement conformes au GDPR
Selon le degré de risque et la méthode de traitement des données, vous pouvez choisir la technique de protection des données préférée. L'article 32 du RGPD stipule qu'une organisation doit mettre en œuvre les mesures techniques et organisationnelles idéales pour la sécurité des données. Les deux méthodes de chiffrement les plus communément citées conformes au GDPR mentionnées dans les articles du RGPP sont les suivantes
1. Pseudonymisation
2. Cryptage standard
Pseudonymisation
Le procédé de traitement de données à caractère personnel de telle sorte que les données ne puissent plus être attribuées à une personne concernée sans l'utilisation d'informations supplémentaires est appelé pseudonymisation. L'organisation stocke ces «informations supplémentaires» dans un emplacement sécurisé. Le procédé code les données personnelles avec un code pseudo-aléatoire, d'où le nom de pseudonymisation.
On l'appelle «fausse» anonymisation car elle peut aider à réidentifier un individu. L'anonymisation est irréversible et ne peut aider à renvoyer à l'individu. Contrairement à l'anonymisation, la pseudonymisation ne supprime pas toutes les informations d'identification des données. Cela réduit simplement la possibilité de liaison des données avec l’identité de la personne. La pseudonymisation est la méthode privilégiée pour ré-identifier les utilisateurs à l'avenir.
Dans l'exemple ci-dessous, John Rhodes est la personne concernée par les données à laquelle les données à caractère personnel doivent être stockées de manière sécurisée. Les détails qui peuvent aider à mieux cerner John doivent être placés dans une zone sécurisée et réglementée.
Le masquage des données est une solution standard. pour la pseudonymisation des données. Cette méthode couvre une partie des données à l'aide de caractères aléatoires ou d'autres données. De ce fait, les gestionnaires de données peuvent désormais utiliser les données masquées sans compromettre l’identité d’un individu. Dans l'exemple ci-dessous, le masquage des données masque les données importantes qui permettent d'identifier l'individu.
Cette technique de protection des données pose quelques problèmes. Les données pseudonymes conduisent à une certaine forme de ré-identification après un certain raisonnement et une analyse. Par conséquent, le modèle doit être sujet à changement régulièrement pour maintenir l'intégrité et la sécurité des données. Même les données limitées et non fiables sont disponibles pour une grande partie de l'auditoire sans aucune restriction d'accessibilité des données.
Cryptage standard
Le cryptage traduit les données sous une autre forme inintelligible pour toute personne non autorisée. Une personne autorisée a besoin d'une clé de déchiffrement valide pour déchiffrer les données cryptées, faisant ainsi du cryptage une méthode efficace de protection des données.
Il existe deux schémas principaux de cryptage des données,
a. Chiffrement symétrique
b. Cryptage asymétrique
Dans le cryptage symétrique, les deux parties impliquées partagent une clé commune pour accéder aux données. En revanche, le cryptage asymétrique élimine le besoin de partager une clé commune en utilisant une paire de clés publique-privée. Beaucoup le choisissent rarement car il est beaucoup plus lent que le cryptage symétrique.
Contrairement à la pseudonymisation, seuls les membres qui possèdent la clé de décryptage ont accès aux données, préservant ainsi leur intégrité. Cela fait du cryptage un meilleur choix par rapport au premier.
Au contraire, le cryptage des données a son lot de problèmes. Lors du traitement de données chiffrées, il est impossible d'effectuer des opérations de recherche avant leur déchiffrement. Les personnes responsables doivent stocker les clés utilisées pour le chiffrement et le déchiffrement dans un endroit sûr, car perdre les clés signifie perdre les données.
Conclusion
Il est très courant que la première question posée à une entreprise après une violation est de savoir si l'organisation a mis en œuvre des méthodes de protection des données. Négliger la protection des données peut coûter un million de dollars. Par conséquent, compte tenu de l’importance de la confidentialité des données, il vaut toujours mieux prévenir que guérir.
Source link