Carrières

Ce qu’il faut retenir de la nouvelle version du guide de la sécurité des données personnelles de la CNIL

Le RGPD,
qu’est-ce c’est ?

Le règlement général sur la protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données sur tout le territoire de l’Union européenne (UE). Entré en application le 25 mai 2018, il s’inscrit dans la continuité de la loi française « Informatique et Libertés » de 1978 et a pour objectif d’établir des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. Il protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.

Qu’entend-on
par « données à caractère personnel » ? 

 

« Données à caractère personnel » est défini par le RGPD comme toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Quelles sont les principales modifications à retenir ? 

Fiche n°2
Objectif : authentification des utilisateurs

Nouveauté : prise en compte de la nouvelle recommandation relative aux mots de passe et autres secrets partagés adoptée en 2022 par la CNIL. Reprise de la notion d’entropie des mots de passe, c’est-à-dire leur niveau d’imprédictibilité et donc leur capacité de résistance à une attaque.

Fiche n°4
Objectif : information sur la traçabilité des opérations et la gestion des incidents via la journalisation

Nouveauté : Nécessité d’une utilisation appropriée et d’une conservation sécurisée de ces éléments sur une période glissante de six mois à trois ans maximum selon les cas.

Fiche n°12
Objectif : encadrement des développements informatiques à destination des DSI

Nouveauté : insertion de l’intégration de la protection des données (y compris des exigences en termes de sécurité des données dès la conception) et du fait d’éviter le recours à des zones de texte libre ou de commentaire.

CLOUD_SOUVERAIN_NUMSPOT

Fiche n°15
Objectif : sécurisation des échanges avec d’autres organismes

Nouveauté :  ajout d’une précaution liée au chiffrage des données avant leur enregistrement sur un support physique à transmettre à un tiers.

Fiche n°17
Objectif : hachage et chiffrement de la signature électronique

Nouveauté : nécessité d’actualiser les algorithmes à utiliser et ajout d’une précaution liée à l’utilisation de tailles de clés suffisantes.

Quelles sont les principales modifications à retenir ?

La ligne directrice sur la notification des violations de données s’articule autour de 4 axes incontournables à respecter dans le cadre du traitement d’une violation de données à caractère personnel :

1


L’évaluation de la violation des données

2


La notification aux clients concernés

4


La notification aux autorités compétentes

5


Les mesures de remédiation à mettre en œuvre

Clarification de
la procédure à suivre
par les entreprises localisées en dehors de l’espace économique européen 

Communication de la liste des liens et coordonnées pour déclarer une violation de données auprès de chacune des autorités de l’EEE, ainsi que les langues acceptées.

Obligations de transparence et d’accès aux données personnelles des particuliers conservées par les entreprises. Mise en place obligatoire de processus appropriés pour assurer cet accès aux données personnelles.

Le droit d’accès n’est soumis à aucune réserve générale de proportionnalité ; autrement dit, l’entreprise doit fournir les mêmes efforts de restitution des données personnelles, quelle que soit la quantité conservée.

L’accès aux données ne doit pas porter atteinte aux droits et libertés d’autres personnes. (nécessité d’assurer l’omission ou l’illisibilité de certaines informations qui pourraient affecter négativement les droits d’autrui)

Mises à jour des lignes directives
sur l’autorité chef de file

Précision de la notion d’établissement principal (lieu de l’administration centrale), permettant l’identification d’un seul responsable de traitement de données par entreprise et par pays. L’autorité de protection des données du pays où se trouve le siège principal d’une société, dite « autorité chef de file », est l’interlocutrice privilégiée pour le dépôt d’une plainte ou pour mener des actions répressives en cas de manquements

Harmonisation au niveau européen des décisions des autorités de protection des données concernant les traitements transfrontaliers

Mise à jour de la ligne directive sur l’utilisation de la technologie de reconnaissance faciale par les autorités répressives et judiciaires 

Nécessité d’une base légale adéquate et d’une autorisation spécifique pour traiter des données biométriques liées à l’identification des personnes

Nécessité d’allouer des ressources suffisantes aux autorités de protection des données, afin de garantir la protection des droits des personnes concernées

Vigilance sur les risques liés aux biais humains dans le traitement des résultats (préjugés, jugements, erreurs pouvant survenir lorsqu’une personne interprète ou analyse des données

A propos de NumSpot

NumSpot est un acteur du cloud souverain et de confiance. Né de la volonté de 4 entreprises françaises de premier plan des secteurs public et privé (Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Télécom), NumSpot propose une offre de cloud indépendant, souverain et robuste adossé au IaaS d’OUTSCALE qualifié SecNumCloud. NumSpot est un cloud réversible et transparent, basé principalement sur l’open source et des solutions européennes. L’offre NumSpot s’adresse prioritairement aux secteurs confrontés à une forte sensibilité des données (secteur public, santé, services financiers et assurance, OIV et OSE) en France et en Europe, et à la recherche d’une solution souveraine et de confiance en accord avec les règlementations RGPD et européennes. NumSpot fait ainsi le choix d’œuvrer pour l’intérêt général en proposant un véritable pacte de confiance entre un fournisseur de cloud, ses clients et les citoyens européens. 

Ça pourrait
vous intéresser

Résumé SecNumCloud est une qualification de sécurité proposée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) pour les prestataires de services cloud offrant...

6 min de lecture

Qu’est-ce que le Patriot Act ?  Le USA Patriot Act est une loi anti-terroriste datant du 26 octobre 2001 votée par l’administration Bush après les attentats...

3 min de lecture

Résumé Le cloud souverain protège la souveraineté des données en les hébergeant dans des environnements cloud contrôlés par des entités souveraines Avec l’ajout de la...

4 min de lecture

Trouver

Un partenaire

Découvrez la liste des partenaires embarquant les technologies NumSpot (éditeurs,
intégrateurs, distributeurs, revendeurs, sociétés de conseil)

DOCAPOSTE
CLEYROP
SOPRA STERIA
IBM
LIGHTON
ALTER WAY
ILLUIN TECHNOLOGY
ENERGISME
OGO
OGO SECURITY
RED HAT
DEVOTEAM
KELTIO
OCTO TECHNOLOGY
DUOKEY
BOUYGUES TELECOM
SOFTEAM
OPENVALUE
Produits

Gestion et opérations
Calcul
Containers
Réseau
Stockage
Data
Sécurité et identité
Developers

Solutions

Gestion et opérations
Calcul
Containers
Réseau
Stockage
Data
Sécurité et identité
Developers
Container registry
Service proposant un référentiel ou des collections de dépôts pour stocker les images des conteneurs.
CI/CD (Gitlab)
Service de CI (Continuous Integration) et CD (Continuous Delivery) permet aux développeurs de construire et dé...
Blueprints
Scripts et patterns disponibles pour déployer, assembler et utiliser de manière productive les services de Num...
WAF
Service de WAF (Web Application Firewall) disponible sur la marketplace de NumSpot. Ce service protège les app...
Région SecNumCloud
Fait référence à un centre de données ou un ensemble de centres de données situés géographiquement ensemble et...
Portail
Interface web qui vous permet de créer et gérer des ressources cloud de votre compte. Il orchestre les requête...
Automatisation (IaC)
Interfaces standardisées permettant l’automatisation des actions sur le cloud avec une approche « Infrasctruct...
Kubernetes (self-service)
Kubernetes est une plate-forme open-source extensible et portable pour la gestion de charges de travail (workl...
OpenShift (self-service)
Plateforme de service qui repose sur la technologie Red Hat OpenShift, basée sur le système d’orchestration de...
IP publiques
Fonctionnalité qui fait référence à une adresse IP unique attribuée à une ressource informatique (comme un ser...
Catalogue d’images (VM)
Catalogue d’images préconfigurées d’une machine virtuelle utilisée pour créer une instance.
SQL
Service proposant des bases de données Une base de données SQL utilisant le langage standardisé SQL (Structure...
Identité management (IAM)
Service gérant au travers d’une plateforme unifiée l'authentification, la gestion des comptes d'utilisateurs, ...
VPN
VPN (Virtual Private Network), service qui offre une connexion Internet sécurisée et privée en utilisant les i...
Streaming et Messaging
Services de streaming de données et de broker de messages (messagerie) hébergés dans le cloud. Service entière...
Cache
Fonctionnalité qui stocke temporairement des données dans un emplacement proche de l'utilisateur pour accélére...
NoSQL
Bases de données conçues pour être flexibles, scalables et capables de gérer de grands volumes de données stru...
Metrics
Service proposant une collection d’indicateurs sur les performances et l'utilisation de services cloud.
Logging
Service qui collecte, stocke, analyse et surveille des journaux de données générés par les applications, les s...
Infrastructure As Code
Interfaces standardisées permettant l’automatisation des actions sur le cloud avec une approche « Infrasctruct...
BYOK
Service de stockage de données et de chiffrement de ces données pour une sécurité accrue. Service particulière...
Block Storage
Type de stockage de données où les données sont sauvegardées en blocs distincts, chacun ayant un identifiant u...
Object Storage (S3)
Service de stockage d’objets pour stocker n’importe quel type de données et les récupérer quand et où vous le ...
Snapshots
« Photographie » instantanée d'un volume de disque, d'une machine virtuelle, d'un système de fichiers, le serv...
Key Management Service
Service qui gère la création, le stockage, la distribution et la rotation des clés de chiffrement utilisées po...
Load Balancer
Service qui distribue le trafic réseau ou les demandes d'applications sur plusieurs serveurs dans un groupe.
Certificat Management
Service qui permet la création, la distribution, le stockage, le suivi, le renouvellement et la révocation des...
VPC
VPC (Virtual Private Cloud) est un service qui fournit une infrastructure réseau virtuelle privée dans un envi...
DirectLink
Direct Link dans le cloud fait référence à une connexion dédiée et privée entre votre réseau local, comme un d...
Kubernetes (K8S)
Service Kubernetes managé permettant le déploiement d'applications containerisées. Possibilité dès à présent d...
OpenShift
Plateforme de service (PaaS) managée qui repose sur la technologie Red Hat OpenShift, basée sur le système d’o...
VM Autoscaling
Un service qui ajuste automatiquement le nombre de VM actives en fonction des besoins actuels en ressources de...
GPU NVIDIA
NumSpot est le seul cloud public à proposer des GPU qualifiés SecNumCloud. Les GPU NVIDIA fournissent des capa...
Virtual Machine (VM)
Ce service met à disposition des machines virtuelles dans un environnement cloud public sécurisé. La puissance...