RGPD L'article 25 traite de la protection des données dès la conception et par défaut.
Ce concept garantit que le responsable du traitement prend en compte la vie privée de la personne concernée à chaque étape de son opération et conçoit des opérations de traitement de données qui placent le RGPD au cœur d'un ensemble d'objectifs.
Pour y parvenir, les organisations doivent d’abord définir un ensemble distinct d’objectifs de confidentialité, avant d’entreprendre l’ingénierie et la mise en œuvre ultérieure d’une opération de traitement de données (ou, par procuration, d’un produit).
Protection des données dès la conception et par défaut
- Compte tenu de l'état de la technique, du coût de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques plus ou moins probables et graves pour les droits et libertés des personnes physiques posés par le traitement, le responsable du traitement doit, tant au moment de la détermination des moyens de traitement qu'au moment du traitement lui-même, mettre en œuvre des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont conçues pour mettre en œuvre les principes de protection des données, tels que la minimisation des données, de manière efficace. manière appropriée et d'intégrer les garanties nécessaires dans le traitement afin de répondre aux exigences du présent règlement et de protéger les droits des personnes concernées.
- Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel nécessaires à chaque finalité spécifique du traitement sont traitées. Cette obligation s'applique à la quantité de données personnelles collectées, à l'étendue de leur traitement, à la durée de leur conservation et à leur accessibilité. Ces mesures garantissent notamment que, par défaut, les données à caractère personnel ne soient pas rendues accessibles sans l'intervention de l'individu à un nombre indéfini de personnes physiques.
- Un mécanisme de certification approuvé conformément à l'article 42 peut être utilisé comme élément permettant de démontrer la conformité aux exigences énoncées aux paragraphes 1 et 2 du présent article.
Protection des données dès la conception et par défaut
- Compte tenu de l'état de la technique, du coût de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques plus ou moins probables et graves pour les droits et libertés des personnes physiques posés par le traitement, le responsable du traitement doit, tant au moment de la détermination des moyens de traitement qu'au moment du traitement lui-même, mettre en œuvre des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont conçues pour mettre en œuvre les principes de protection des données, tels que la minimisation des données, de manière efficace. manière appropriée et d'intégrer les garanties nécessaires dans le traitement afin de répondre aux exigences du présent règlement et de protéger les droits des personnes concernées.
- Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel nécessaires à chaque finalité spécifique du traitement sont traitées. Cette obligation s'applique à la quantité de données personnelles collectées, à l'étendue de leur traitement, à la durée de leur conservation et à leur accessibilité. Ces mesures garantissent notamment que, par défaut, les données à caractère personnel ne soient pas rendues accessibles sans l'intervention de l'individu à un nombre indéfini de personnes physiques.
- Un mécanisme de certification approuvé conformément à l'article 42 peut être utilisé comme élément permettant de démontrer la conformité aux exigences énoncées aux paragraphes 1 et 2 du présent article.
Si vous n'utilisez pas ISMS.online, vous vous rendez la vie plus difficile qu'elle ne devrait l'être !
Lorsqu'une organisation entreprend d'élaborer une opération de traitement de données qui adhère à la protection des données « dès la conception » et « par défaut », plusieurs facteurs majeurs doivent être pris en compte :
Les organisations doivent se soumettre à un exercice de cartographie répertoriant les facteurs internes et externes liés à la mise en œuvre d'un PIMS.
L'organisation doit être en mesure de comprendre comment elle va atteindre ses objectifs en matière de protection de la vie privée, et tout problème qui fait obstacle à la protection des informations personnelles doit être identifié et résolu.
Avant de tenter d’aborder la protection de la vie privée et de mettre en œuvre des informations personnelles, les organisations doivent d’abord comprendre leurs obligations en tant que contrôleur et/ou sous-traitant unique ou conjoint des informations personnelles.
Ceci comprend :
Les organisations doivent utiliser des accords de non-divulgation (NDA) et des accords de confidentialité pour protéger la divulgation volontaire ou accidentelle d'informations sensibles à du personnel non autorisé.
Lors de la rédaction, de la mise en œuvre et du maintien de tels accords, les organisations doivent :
Les lois sur la confidentialité varient d'une juridiction à l'autre, et les organisations doivent tenir compte de leurs propres obligations légales et réglementaires lors de la rédaction des NDA et des accords de confidentialité (voir ISO 27002 Contrôles 5.31, 5.32, 5.33 et 5.34).
Les organisations doivent s’assurer que le cycle de vie du développement est créé en gardant à l’esprit la protection de la vie privée.
Pour y parvenir, les organisations doivent :
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Nous sommes économiques et rapides
Le système organisationnel doit être conçu, documenté, mis en œuvre et maintenu en gardant à l’esprit la protection de la vie privée :
Les principes d’ingénierie doivent analyser :
Les principes d'ingénierie doivent prendre en compte :
L’ingénierie des systèmes sécurisés doit englober :
Les organisations devraient par défaut adopter une approche de « confiance zéro » en matière de sécurité.
Lorsque l'organisation sous-traite le développement à des organisations tierces, des efforts doivent être faits pour garantir que les principes de sécurité du partenaire sont alignés sur ceux de l'organisation.
Les organisations ne doivent également traiter les informations personnelles que si elles sont pertinentes, proportionnelles et nécessaires pour atteindre un objectif déclaré, notamment :
Article RGPD | Article ISO 27701 | Contrôles ISO 27002 |
---|---|---|
Article 25 (3) du RGPD de l’UE | ISO 27701 5.2.1 | Aucun |
Article 25 (1)(f) du RGPD de l’UE | ISO 27701 6.10.2.4 | ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
Article 25 (1) du RGPD de l’UE | ISO 27701 6.11.2.1 | ISO 27002 5.8 ISO 27002 8.4 ISO 27002 8.9 ISO 27002 8.27 ISO 27002 8.28 ISO 27002 8.30 ISO 27002 8.31 |
Article 25 (1) du RGPD de l’UE | ISO 27701 6.11.2.5 | ISO 27002 5.15 ISO 27002 5.18 ISO 27002 8.2 ISO 27002 8.5 |
Article 25 (2) du RGPD de l’UE | ISO 27701 7.4.2 | Aucun |
Nous mettons à votre disposition un environnement prédéfini dans lequel vous pouvez décrire et démontrer comment vous protégez les données de vos clients européens et britanniques.
La plateforme ISMS.online dispose de conseils intégrés à chaque étape, combinés à notre approche de mise en œuvre « Adopter, Adapt, Add », de sorte que les efforts requis pour démontrer votre approche du RGPD sont considérablement réduits.
Vous bénéficierez également d’une gamme de fonctionnalités puissantes qui vous feront gagner du temps.
En savoir plus par réserver une courte démo de 30 minutes.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo