Comprendre et appliquer les réglementations de protection des données et de respect de la vie privée
avancées pour protéger tous les éléments, des identifiants aux
logiciels en passant par les lecteurs et les contrôleurs. Tout cela
permet un contrôle sécurisé des portes, tout en maintenant
les informations sensibles au sein du périmètre sécurisé. Vous
pouvez ainsi réduire le risque d'interception de données ou de
clonage d'identifiants.
PRODUIT — En savoir plus sur le contrôle d'accès haute confiance
Citons enfin la norme ISO 27001, qui est à la fois une norme et
une certification. Bien qu'elle ne soit pas obligatoire d'un point
de vue juridique, la conformité à la norme ISO 27001 peut aider
les organisations à respecter diverses autres réglementations, car
ses recommandations sont alignées sur les dispositions du RGPD,
de la directive NIS2 et d'autres directives similaires.
En sachant cela, vous pourrez mieux comprendre et gérer les
attentes et les exigences des nouvelles lois et directives qui
seront publiées.
GUIDE — Le parcours vers le RGPD
2. La vérité sur la gouvernance des données et la géographie
Aujourd'hui, de plus en plus d'organisations choisissent des
solutions cloud ou optent pour des déploiements en cloud
hybride. Dans le contexte de cette transformation, elles se
demandent si elles doivent conserver les données dans leur
propre pays pour respecter les réglementations. Voici la réponse
courte : la plupart des données ne sont pas concernées par
des restrictions de résidence et peuvent donc être exportées
et traitées en toute légitimité dans d'autres pays, dès lors que
certaines mesures de respect de la vie privée et de sécurité sont
mises en place.
Il y a toutefois quelques exceptions à cela. Par exemple, certains
types de données traités par les acteurs des secteurs hautement
réglementés (comme la banque, l'administration et les
infrastructures critiques) peuvent, en raison de la sensibilité de
leurs opérations, être soumises à des contraintes de résidence.
Dans d'autres cas, certaines organisations peuvent simplement
avoir pour préférence ou pour politique de conserver les
données dans un périmètre géographique donné, sans qu'il
s'agisse d'une obligation légale.
L'autre exception majeure semble concerner les données
personnelles. Mais en vérité, il n'y a pratiquement pas
d'exigences réglementaires pour les données personnelles
résidant dans votre pays. L'essentiel est de savoir si les données
sont traitées et protégées conformément aux réglementations
en vigueur dans le pays d'origine.
C'est pourquoi il est aussi important de travailler avec un
fournisseur de confiance. Des fournisseurs informés et
compétents doivent également être en mesure de proposer
plusieurs localisations de centre de données pour répondre
à vos besoins et à vos préférences, tout en vous aidant à faire
le meilleur choix pour votre organisation à la lumière de toutes
les exigences professionnelles et réglementaires spécifiques.
3. Connaître vos rôles et responsabilités
Votre chaîne d'approvisionnement comprend certainement de
nombreuses organisations qui remplissent des rôles différents
et sont amenées à traiter vos données. Certes, c'est à vous que
revient, en fin de compte, de décider qui a accès à quoi. Mais
vos partenaires ont également la responsabilité de veiller à ce
que vos données soient correctement gérées et sécurisées.
Par exemple, en tant que responsable du traitement des
données, vous devez faire preuve de vigilance et évaluer les
partenaires et fournisseurs avec lesquels vous travaillez. Vous
devez également déterminer les données auxquelles ils ont
accès et la manière dont ils comptent les gérer, les stocker et
les sécuriser. Vous devez en outre évaluer leurs pratiques
en continu afin de vous assurer qu'ils respectent les bonnes
pratiques et leurs engagements.
Mais tout ne repose pas sur vous. Ces partenaires
technologiques et ces fournisseurs agissent généralement
en tant que sous-traitants de vos données. Cela signifie qu'ils
sont responsables des livrables technologiques et doivent
faire preuve de transparence quant à la manière dont ils vont
traiter et protéger vos données. Ils doivent également assumer
la responsabilité de leurs propres actions (et celles de leurs
fournisseurs à eux) lorsque celles-ci peuvent avoir un impact sur
votre organisation ou contredire les engagements qu'ils auront
pris vis-à-vis de vous.
