Comment démontrer la conformité à l'article 25 du RGPD

Protection des données dès la conception et par défaut

Demander demo

jeune, femme, entrepreneur, indépendant, travaillant, utilisant, un, ordinateur portable, dans, coworking

RGPD L'article 25 traite de la protection des données dès la conception et par défaut.

Ce concept garantit que le responsable du traitement prend en compte la vie privée de la personne concernée à chaque étape de son opération et conçoit des opérations de traitement de données qui placent le RGPD au cœur d'un ensemble d'objectifs.

Pour y parvenir, les organisations doivent d’abord définir un ensemble distinct d’objectifs de confidentialité, avant d’entreprendre l’ingénierie et la mise en œuvre ultérieure d’une opération de traitement de données (ou, par procuration, d’un produit).

Article 25 du RGPD Texte juridique

Version RGPD de l'UE

Protection des données dès la conception et par défaut

  1. Compte tenu de l'état de la technique, du coût de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques plus ou moins probables et graves pour les droits et libertés des personnes physiques posés par le traitement, le responsable du traitement doit, tant au moment de la détermination des moyens de traitement qu'au moment du traitement lui-même, mettre en œuvre des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont conçues pour mettre en œuvre les principes de protection des données, tels que la minimisation des données, de manière efficace. manière appropriée et d'intégrer les garanties nécessaires dans le traitement afin de répondre aux exigences du présent règlement et de protéger les droits des personnes concernées.

  2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel nécessaires à chaque finalité spécifique du traitement sont traitées. Cette obligation s'applique à la quantité de données personnelles collectées, à l'étendue de leur traitement, à la durée de leur conservation et à leur accessibilité. Ces mesures garantissent notamment que, par défaut, les données à caractère personnel ne soient pas rendues accessibles sans l'intervention de l'individu à un nombre indéfini de personnes physiques.

  3. Un mécanisme de certification approuvé conformément à l'article 42 peut être utilisé comme élément permettant de démontrer la conformité aux exigences énoncées aux paragraphes 1 et 2 du présent article.

Version du RGPD au Royaume-Uni

Protection des données dès la conception et par défaut

  1. Compte tenu de l'état de la technique, du coût de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques plus ou moins probables et graves pour les droits et libertés des personnes physiques posés par le traitement, le responsable du traitement doit, tant au moment de la détermination des moyens de traitement qu'au moment du traitement lui-même, mettre en œuvre des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont conçues pour mettre en œuvre les principes de protection des données, tels que la minimisation des données, de manière efficace. manière appropriée et d'intégrer les garanties nécessaires dans le traitement afin de répondre aux exigences du présent règlement et de protéger les droits des personnes concernées.

  2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel nécessaires à chaque finalité spécifique du traitement sont traitées. Cette obligation s'applique à la quantité de données personnelles collectées, à l'étendue de leur traitement, à la durée de leur conservation et à leur accessibilité. Ces mesures garantissent notamment que, par défaut, les données à caractère personnel ne soient pas rendues accessibles sans l'intervention de l'individu à un nombre indéfini de personnes physiques.

  3. Un mécanisme de certification approuvé conformément à l'article 42 peut être utilisé comme élément permettant de démontrer la conformité aux exigences énoncées aux paragraphes 1 et 2 du présent article.

Aller au sujet
Si vous n'utilisez pas ISMS.online, vous vous rendez la vie plus difficile qu'elle ne devrait l'être !
Mark Wightman
Chief Technical Officer Aluma
100 % de nos utilisateurs réussissent la certification du premier coup
Réservez votre démo

Commentaire technique

Lorsqu'une organisation entreprend d'élaborer une opération de traitement de données qui adhère à la protection des données « dès la conception » et « par défaut », plusieurs facteurs majeurs doivent être pris en compte :

  • Développement technologique.

  • Coût de mise en œuvre.

  • La nature de l’opération (contexte et finalité).

  • Risques et libertés de l'individu.

  • Portée (c'est-à-dire où les données doivent être collectées).

  • Minimisation des données.

  • Le concept de mesures « appropriées ».

Clause 27701 de la norme ISO 5.2.1 (Comprendre l'organisation et son contexte) et article 25 (3) du RGPD de l'UE

Les organisations doivent se soumettre à un exercice de cartographie répertoriant les facteurs internes et externes liés à la mise en œuvre d'un PIMS.

L'organisation doit être en mesure de comprendre comment elle va atteindre ses objectifs en matière de protection de la vie privée, et tout problème qui fait obstacle à la protection des informations personnelles doit être identifié et résolu.

Avant de tenter d’aborder la protection de la vie privée et de mettre en œuvre des informations personnelles, les organisations doivent d’abord comprendre leurs obligations en tant que contrôleur et/ou sous-traitant unique ou conjoint des informations personnelles.

Ceci comprend :

  • Examiner les lois, réglementations ou « décisions judiciaires » en vigueur en matière de protection de la vie privée.

  • Tenir compte de l'ensemble unique d'exigences de l'organisation liées au type de produits et de services qu'elle vend, ainsi que des documents, politiques et procédures de gouvernance spécifiques à l'entreprise.

  • Tous les facteurs administratifs, y compris la gestion quotidienne de l'entreprise.

  • Accords avec des tiers ou contrats de service susceptibles d'avoir un impact sur les informations personnelles et la protection de la vie privée.

Clause 27701 de la norme ISO 6.10.2.4 (Accords de confidentialité ou de non-divulgation) et article 25 (1)(f) du RGPD de l'UE

Les organisations doivent utiliser des accords de non-divulgation (NDA) et des accords de confidentialité pour protéger la divulgation volontaire ou accidentelle d'informations sensibles à du personnel non autorisé.

Lors de la rédaction, de la mise en œuvre et du maintien de tels accords, les organisations doivent :

  • Proposez une définition des informations qui doivent être protégées.

  • Décrivez clairement la durée prévue de l’accord.

  • Énoncez clairement toutes les actions requises une fois l’accord résilié.

  • Toutes les responsabilités convenues par les signataires confirmés.

  • Propriété des informations (y compris la propriété intellectuelle et les secrets commerciaux).

  • Comment les signataires sont autorisés à utiliser les informations.

  • Décrivez clairement le droit de l’organisation de surveiller les informations confidentielles.

  • Toutes les répercussions qui découleront du non-respect.

  • Examine régulièrement leurs besoins en matière de confidentialité et ajuste tout accord futur en conséquence.

Les lois sur la confidentialité varient d'une juridiction à l'autre, et les organisations doivent tenir compte de leurs propres obligations légales et réglementaires lors de la rédaction des NDA et des accords de confidentialité (voir ISO 27002 Contrôles 5.31, 5.32, 5.33 et 5.34).

Prise en charge des contrôles ISO 27002

  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34

Clause 27701 de la norme ISO 6.11.2.1 (Politique de développement sécurisé) et article 25 (1) du RGPD de l'UE

Les organisations doivent s’assurer que le cycle de vie du développement est créé en gardant à l’esprit la protection de la vie privée.

Pour y parvenir, les organisations doivent :

  1. Travailler avec des environnements de développement, de test et de développement distincts (voir ISO 27002 Contrôle 8.31).

  2. Publier des conseils sur la protection de la vie privée tout au long du cycle de vie du développement, y compris les méthodologies, les directives de codage et les langages de programmation (voir ISO 27002 Contrôles 8.28, 8.27 et 5.8).

  3. Décrire les exigences de sécurité dans la phase de spécification et de conception (voir ISO 27002 Contrôle 5.8).

  4. Mettre en œuvre des points de contrôle de sécurité dans tous les projets pertinents (voir ISO 27002 Contrôle 5.8).

  5. Entreprendre des tests de système et de sécurité, y compris des analyses de code et des tests d'intrusion (voir ISO 27002 Contrôle 5.8).

  6. Proposez des référentiels sécurisés pour tout le code source (voir ISO 27002 Controls 8.4 et 8.9).

  7. Appliquer des procédures strictes de contrôle de version (voir ISO 27002 Contrôle 8.32).

  8. Proposer au personnel une formation sur la protection de la vie privée et la sécurité des applications (voir ISO 27002 Contrôle 8.28).

  9. Analyser la capacité des développeurs à localiser, atténuer et éradiquer les vulnérabilités (voir ISO 27002 Control 8.28).

  10. Documentez toutes les exigences de licence actuelles ou futures (voir ISO 27002 Contrôle 8.30).

Prise en charge des contrôles ISO 27002

  • ISO 27002 5.8
  • ISO 27002 8.4
  • ISO 27002 8.9
  • ISO 27002 8.27
  • ISO 27002 8.28
  • ISO 27002 8.30
  • ISO 27002 8.31

Voir ISMS.online
en action

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Nous sommes économiques et rapides

Découvrez comment cela augmentera votre retour sur investissement
Obtenez votre devis

Clause 27701 de la norme ISO 6.11.2.5 (Environnement de développement sécurisé) et article 25 (1) du RGPD de l'UE

Le système organisationnel doit être conçu, documenté, mis en œuvre et maintenu en gardant à l’esprit la protection de la vie privée :

Les principes d’ingénierie doivent analyser :

  • Un large éventail de contrôles de sécurité nécessaires pour protéger les informations personnelles contre des menaces spécifiques et généralisées.

  • Dans quelle mesure les contrôles de sécurité sont-ils bien équipés pour faire face aux événements de sécurité majeurs.

  • Contrôles ciblés distincts des processus métier individuels.

  • sur le réseau et how des contrôles de sécurité doivent être mis en œuvre.

  • Comment les différentes commandes fonctionnent en harmonie les unes avec les autres.

Les principes d'ingénierie doivent prendre en compte :

  1. Intégration architecturale.

  2. Mesures techniques de sécurité (chiffrement, IAM, DAM etc.)

  3. Dans quelle mesure l’organisation est-elle équipée pour mettre en œuvre et maintenir la solution choisie.

  4. Lignes directrices sur les meilleures pratiques de l’industrie.

L’ingénierie des systèmes sécurisés doit englober :

  • Principes architecturaux bien établis et conformes aux normes de l’industrie.

  • Une revue de conception approfondie qui identifie les vulnérabilités et aide à élaborer une approche de bout en bout en matière d’adhésion.

  • Divulgation complète de tout contrôle de sécurité qui ne répond pas aux exigences attendues.

  • Durcissement du système.

Les organisations devraient par défaut adopter une approche de « confiance zéro » en matière de sécurité.

Lorsque l'organisation sous-traite le développement à des organisations tierces, des efforts doivent être faits pour garantir que les principes de sécurité du partenaire sont alignés sur ceux de l'organisation.

Prise en charge des contrôles ISO 27002

  • ISO 27002 5.15
  • ISO 27002 5.18
  • ISO 27002 8.2
  • ISO 27002 8.5

Clause 27701 de la norme ISO 7.4.2 (traitement limité) et article 25 (2) du RGPD de l'UE

Les organisations ne doivent également traiter les informations personnelles que si elles sont pertinentes, proportionnelles et nécessaires pour atteindre un objectif déclaré, notamment :

  1. Divulgation.

  2. Stockage.

  3. Accessibilité.

Prise en charge des clauses ISO 27701 et des contrôles ISO 27002

Article RGPDArticle ISO 27701Contrôles ISO 27002
Article 25 (3) du RGPD de l’UEISO 27701 5.2.1Aucun
Article 25 (1)(f) du RGPD de l’UEISO 27701 6.10.2.4ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34
Article 25 (1) du RGPD de l’UEISO 27701 6.11.2.1ISO 27002 5.8
ISO 27002 8.4
ISO 27002 8.9
ISO 27002 8.27
ISO 27002 8.28
ISO 27002 8.30
ISO 27002 8.31
Article 25 (1) du RGPD de l’UEISO 27701 6.11.2.5ISO 27002 5.15
ISO 27002 5.18
ISO 27002 8.2
ISO 27002 8.5
Article 25 (2) du RGPD de l’UEISO 27701 7.4.2Aucun

Comment ISMS.online vous aide

Nous mettons à votre disposition un environnement prédéfini dans lequel vous pouvez décrire et démontrer comment vous protégez les données de vos clients européens et britanniques.

La plateforme ISMS.online dispose de conseils intégrés à chaque étape, combinés à notre approche de mise en œuvre « Adopter, Adapt, Add », de sorte que les efforts requis pour démontrer votre approche du RGPD sont considérablement réduits.

Vous bénéficierez également d’une gamme de fonctionnalités puissantes qui vous feront gagner du temps.

  • ROPA en toute simplicité
  • Modèles d'évaluation
  • Un espace sécurisé pour les DRR (Data Subject Rights Requests)
  • Gestion des violations

En savoir plus par réserver une courte démo de 30 minutes.

Découvrez notre plateforme

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Simple. Sécurisé. Durable.

Découvrez notre plateforme en action avec une session pratique personnalisée en fonction de vos besoins et de vos objectifs.

Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage