RGPD : leçon 2, ADMINISTREZ vos données

Poursuivons le parcours que nous avons entamé dans les deux articles précédents. Dans le premier article, nous avons survolé la démarche de conformité au RGPD de Veeam et partagé les 5 leçons que nous avons apprises. Dans le deuxième article, nous avons approfondi le premier de ces cinq principes.

  1. Connaissez vos données
  2. Administrez vos données
  3. Protégez vos données
  4. Documentation et conformité
  5. Amélioration continue

Examinons maintenant le deuxième principe de plus près : administrez vos données.

Si vous avez accompli les tâches du premier principe et détecté les informations d’identification personnelle (PII) que vous détenez ainsi que leur emplacement, vous pouvez commencer à établir des règles et des processus d’accès et d’utilisation concernant ces PII.

Les questions clés sont les suivantes :

  1. Qui a accès à ces informations (et comment savoir quand ces personnes y ont accès) ?
  2. Pourquoi ces personnes accèdent-elles à ces informations ?
  3. Dans quel but ?

Tout au long de ce processus, nous avons découvert qu’il existe de nombreux services distincts dans votre entreprise. Chacun traite et gère les PII pour des raisons qui lui sont propres. Ces services comprennent le marketing, les ventes et les ressources humaines. Le service des ressources humaines (RH) est un des plus délicats. Certaines données qu’il détient ou recueille auprès de vos collaborateurs ne sont pas seulement considérées comme des PII, mais comme des PII critiques. Celles-ci sont soumises à des mesures de sécurité et des protections encore plus strictes. Nous avons découvert que les RH doivent faire l’objet d’une attention particulière en ce qui concerne l’administration des données.

Administrer nos données n’est pas quelque chose que nous faisons entièrement en interne. Veeam a établi des partenariats avec des fournisseurs tiers pour ce qui est de l’administration de ces données spécifiques. Assurez-vous d’évaluer la conformité RGPD de vos partenaires lorsque vous nouez des relations avec eux. Mais sachez également que cela doit être compris dans vos processus et vos procédures. Vous restez responsable des données, qu’elles se trouvent ou non entre les mains d’un fournisseur tiers.

Qui, quoi et pourquoi ?

Il n’est pas surprenant qu’après avoir déterminé la portée de leurs données et les avoir classées, de nombreuses entreprises constatent que leur accès n’est pas soigneusement administré. Si vous utilisez les modèles fournis avec notre livre blanc, vous avez aussi découvert pourquoi les collaborateurs accèdent aux informations et ce qu’ils en font (le but). C’est le moment de créer vos diagrammes et vos procédures et de vous assurer que vos employés ont uniquement accès aux données quand elles sont nécessaires à l’exécution de leurs tâches professionnelles.

Vérifiez également vos accords de divulgation et révisez-les en cas de besoin. Le RGPD vous oblige désormais à définir exactement ce que vous recueillez, le but de ces données, l’endroit où elles seront utilisées et enfin, la durée pendant laquelle vous les conservez. Simultanément, implémentez les procédures nécessaires pour répondre à une demande concernant la nature, la modification ou la suppression des données stockées.

Enfin et surtout, vous devez examiner les listes de contrôle d’accès des équipes internes. Il est courant que le personnel IT de l’entreprise ait accès à toutes les données. Documentez ces accès et assurez-vous que des audits sont réalisés lorsque vos informaticiens ont besoin d’accéder aux données pour effectuer leur travail.

Conclusion

Après avoir déterminé quelles sont vos données et où elles se trouvent, vous devez comprendre les raisons pour lesquelles elles sont utilisées et qui y a réellement accès. Employez des solutions techniques et établissez des partenariats avec des fournisseurs tiers pour savoir comment ils gèrent leur conformité. N’oubliez pas que vous restez responsable de vos données. Adoptez des solutions qui vous permettent d’identifier l’emplacement des données et utilisez le taguage pour les PII et les PII critiques. Créez des rapports pour auditer les accès aux données. Planifiez votre restauration. (Savoir qui a accès à vos données de production n’est pas suffisant quand les opérateurs de restauration peuvent restaurer tout ce qu’ils veulent.) Et encore une chose importante, étant donné que de nombreuses « menaces » proviendront de l’intérieur, assurez-vous que vous disposez d’une protection physique de votre infrastructure.

Langue de l'article
Stay up to date on the latest tips and news
En vous inscrivant, vous acceptez que vos données personnelles soient traitées conformément aux termes de la Politique de confidentialité de Veeam.
You're all set!
Watch your inbox for our weekly blog updates.
OK