À l'occasion du 5e anniversaire du RGPD, la sécurité des données basée sur l'IA offre une voie vers la conformité.

May 24, 2023
Share

Existe-t-il une loi sur la protection de la vie privée qui ait permis de sensibiliser davantage le public à la protection des données que… RGPDLe Règlement général sur la protection des données (RGPD) s'applique à tous les États membres de l'Union européenne (UE). Il vise à établir une norme élevée en matière de protection des données et à instaurer un cadre réglementaire unique pour l'ensemble de l'UE.

Les 99 articles du RGPD énoncent plusieurs droits fondamentaux en matière de protection des données, notamment :

  • droit à l'information
  • droit d'accès
  • droit à la rectification
  • droit à l'effacement/à l'oubli
  • droit de restreindre le traitement
  • droit à la portabilité des données
  • droit d'objection
  • droits relatifs à la prise de décision automatisée et au profilage

Le RGPD n'a pas introduit de règles fondamentalement nouvelles. Il a modernisé les principes de la directive européenne de 1995 sur la protection des données. Ces cinq dernières années, la menace d'une application stricte a fait la une des journaux. Les entreprises qui enfreignent le RGPD risquent des amendes pouvant atteindre 20 millions d'euros ou 4 % de leur chiffre d'affaires annuel mondial. Commission irlandaise de protection des données (DPC) Meta a écopé de la plus forte amende jamais infligée en vertu du RGPD. Le transfert illégal de données personnelles vers les États-Unis a entraîné une amende de 1,2 milliard d'euros (1 milliard de livres sterling).

Nous avons vu un Nombre croissant de mesures coercitives. Cela n'a rien d'étonnant. Le respect des principaux aspects de la réglementation demeure un véritable casse-tête opérationnel. Les entreprises peinent à assurer leur conformité tout en favorisant l'innovation. Le principal obstacle réside dans le chapitre 5, qui encadre le transfert des données personnelles de l'UE hors de l'Union européenne.

Pourquoi cet aspect du RGPD est-il si compliqué pour les entreprises américaines ? La gestion des transferts de données n’est pas nouvelle. Mais il est quasiment impossible pour le pays destinataire, les États-Unis, de garantir des droits à la vie privée adéquats aux citoyens de l’UE. De plus, les États-Unis disposent d’une loi peu connue appelée Foreign Intelligence Surveillance Act de 1978 (FISACela permet au gouvernement de mener une surveillance ciblée sur les personnes non américaines se trouvant hors des États-Unis.Demandes FISACette loi peut contraindre les entreprises américaines à fournir des informations sur leurs utilisateurs. De ce fait, les tribunaux de l'UE ont statué que le gouvernement américain n'offre pas une protection adéquate de la vie privée aux citoyens européens.

Le bouclier de protection des données ou les clauses contractuelles types (« CCT ») étaient utilisés pour simplifier les demandes d'accès aux données. Ces contrats visaient à garantir un niveau élevé de protection des données personnelles. Cependant, ils manquaient de précisions sur les mécanismes de contrôle technique. Il n'est donc pas surprenant que les pouvoirs publics contraignent les entreprises à divulguer des données personnelles.

Aujourd'hui, les entreprises américaines se trouvent à un tournant. Les autorités européennes de protection des données ont réaffirmé que les transferts de données vers les États-Unis présentent un risque pour la vie privée des citoyens européens. Les clauses contractuelles types (CCT) ne suffisent pas à elles seules pour garantir cette protection. Les régulateurs ont promis aux entreprises américaines un nouveau cadre de protection des données UE-États-Unis. Ce cadre devrait faciliter les transferts légaux de données entre les deux pays. Cependant, son adoption reste incertaine. De même, les mesures opérationnelles de protection de la vie privée qui resteront à la charge de l'entreprise demeurent floues.

Cela soulève une question : comment une entreprise américaine peut-elle mettre en place les contrôles appropriés pour réduire le risque de transferts de données personnelles entre l’UE et les États-Unis ?

Cyera offre une visibilité et un contrôle sur la manière dont les entreprises gèrent leurs données, et sur l'endroit où elles le font.

Cyera détecte, classe et protège automatiquement les données dans votre environnement multicloud.

Cela va bien au-delà de la simple découverte et classification. Les grands modèles de langage (LLM) identifient et différencient les informations personnelles des informations non personnelles. Ils mettent également en évidence les cas où une ou plusieurs classes sont identifiables. L'extraction thématique nous permet aussi de déterminer la provenance des données. Les clients peuvent ainsi comprendre quelles données sont concernées par le RGPD. Cela permet également de voir comment elles sont gérées, qui y a accès et les violations des politiques de sécurité et de conformité. Cela facilite la correction des problèmes, aussi bien pour les données stockées que pour les données en cours de manipulation en temps réel.

L'explorateur de données unifié de Cyera met en évidence le contexte détaillé des données multicloud.
L'explorateur de données unifié de Cyera met en évidence le contexte détaillé des données multicloud.

Le moteur de politiques détecte et valide le chiffrement, le masquage, le zonage des données, l'accès et bien plus encore. Par exemple, les règles de zonage garantissent que les données des citoyens de l'UE restent dans des entrepôts de données ou des régions approuvés. Gestion de la posture de sécurité des données (DSPM) met en évidence les cas où les données au repos enfreignent les exigences du RGPD. Détection et réponse aux données (DDR) Signale les dérives des données en temps réel.

Cyera Policy Engine identifie les cas où les informations personnelles identifiables des citoyens de l'UE sont gérées d'une manière qui enfreint le RGPD.
Cyera Policy Engine identifie les cas où les informations personnelles identifiables des citoyens de l'UE sont gérées d'une manière qui enfreint le RGPD.

Des dizaines de solutions prêtes à l'emploi détectent et corrigent les fuites de données des citoyens européens. Elles permettent aux clients de mesurer et d'attester facilement de leurs contrôles de sécurité et de confidentialité. Ainsi, vous pouvez prouver aux autorités de régulation que vous prenez au sérieux la protection de la vie privée des citoyens européens.

Si vous recherchez une solution de sécurité conçue pour répondre aux complexités des architectures modernes, ne cherchez plus. Inscrivez-vous gratuitement. Évaluation des risques liés aux données Commençons dès maintenant à bâtir les fondements d'une protection globale des données. Nous accompagnons des dizaines d'entreprises dans la résolution de problèmes de non-conformité au RGPD affectant des millions d'enregistrements. En ce 5e anniversaire de l'entrée en vigueur du RGPD, nous restons à votre disposition pour vous aider également.

Share