À l'occasion du 5e anniversaire du RGPD, la sécurité des données alimentée par l'IA offre une voie vers la conformité

Existe-t-il une loi sur la protection de la vie privée qui a suscité plus de sensibilisation à la confidentialité des données que le RGPD ? Le Règlement Général sur la Protection des Données s'applique à tous les États membres de l'Union européenne (UE). Il vise à établir un niveau élevé de protection des données et à fournir un ensemble unique de règles pour l'ensemble de l'UE.

Les 99 articles du RGPD énoncent plusieurs droits fondamentaux en matière de protection des données, notamment :

• droit à l'information
• droit d'accès
• droit de rectification
• droit à l'effacement/à l'oubli
• droit de limiter le traitement
• droit à la portabilité des données
• droit d'opposition
• droits relatifs à la prise de décision automatisée et au profilage
  

Le RGPD n'a pas introduit de règles fondamentalement nouvelles. Il a modernisé les principes de la directive européenne sur la protection des données de 1995. Depuis 5 ans, la menace d'une application stricte fait la une des journaux. Les entreprises qui enfreignent le RGPD risquent des amendes allant jusqu'à 20 millions d'euros ou 4 % de leur chiffre d'affaires annuel mondial. La Data Protection Commission (DPC) d'Irlande a infligé à Meta la plus grosse amende jamais prononcée au titre du RGPD. Le transfert illégal de données personnelles vers les États-Unis a entraîné une amende de 1,2 milliard d'euros (1 milliard de livres sterling).

Nous avons constaté un nombre croissant de mesures d'application. Ce n'est pas surprenant. Se conformer aux aspects clés du règlement reste un véritable casse-tête opérationnel. Les entreprises peinent à maintenir leur conformité tout en favorisant l'innovation. Le principal obstacle est le Chapitre 5, qui régit le transfert des données personnelles de l'UE en dehors de l'Union européenne.

Pourquoi cet aspect du RGPD est-il si compliqué pour les entreprises américaines ? La gestion des transferts de données n’est pas nouvelle. Mais il est presque impossible pour le pays destinataire, les États-Unis, de garantir des droits de confidentialité adéquats aux citoyens de l’UE. De plus, les États-Unis disposent d’une loi peu connue appelée le Foreign Intelligence Surveillance Act de 1978 (FISA). Celle-ci permet au gouvernement de mener une surveillance ciblée sur des personnes non américaines situées en dehors des États-Unis. Les “demandes FISA” peuvent obliger les entreprises américaines à fournir des informations sur leurs utilisateurs. Cela a conduit les tribunaux de l’UE à juger que le gouvernement américain n’offre pas de protections de la vie privée adéquates aux citoyens de l’UE.

Le bouclier de confidentialité ou les clauses contractuelles types (« CCT ») étaient utilisés pour simplifier les demandes de données. Ces contrats tentaient de garantir un niveau élevé de protection des données personnelles. Mais ils manquaient de détails sur les contrôles techniques. Il n'est donc pas surprenant que le gouvernement oblige les entreprises à divulguer des données personnelles.

Aujourd'hui, les entreprises américaines sont à un tournant. Les autorités européennes de protection des données ont réaffirmé que les transferts de données vers les États-Unis présentent un risque pour la vie privée des citoyens de l'UE. Les SCC à elles seules ne suffisent pas à garantir la protection de la vie privée. Les régulateurs ont promis aux entreprises américaines un nouveau cadre de protection des données UE-États-Unis. Celui-ci devrait faciliter les transferts de données légaux entre les deux pays. Cependant, il reste incertain que ce cadre soit accepté. Il n'est également pas clair quelles protections opérationnelles de la vie privée pourraient rester à la charge de l'entreprise.

Cela soulève une question. Comment une entreprise américaine peut-elle mettre en place les contrôles appropriés pour réduire le risque de transferts de données personnelles entre l’UE et les États-Unis ?

Cyera offre une visibilité et un contrôle sur l'endroit et la manière dont les entreprises gèrent leurs données

Cyera découvre, classe et protège automatiquement les données à travers l'ensemble de votre paysage de données multicloud.

Cela va bien au-delà de la simple découverte et classification. Les grands modèles de langage (LLM) identifient et distinguent les informations personnelles des informations non personnelles. Ils mettent également en évidence lorsque une ou plusieurs catégories sont identifiables. L’extraction de sujets permet aussi de déterminer l’origine des données. Cela permet aux clients de comprendre quelles données entrent dans le champ d’application du RGPD. Cela montre également comment elles sont gérées, qui peut y accéder, ainsi que les violations des politiques de sécurité et de conformité existantes. Cela facilite la remédiation – pour les données au repos, et lorsqu’elles sont manipulées en temps réel.

Le moteur de politique détecte et valide le chiffrement, le masquage, la segmentation des données, l'accès et bien plus encore. Par exemple, les règles de segmentation garantissent que les données des citoyens de l'UE restent dans des magasins de données ou des régions approuvés. La gestion de la posture de sécurité des données (DSPM) met en évidence les cas où les données au repos enfreignent les exigences du RGPD. La détection et la réponse aux données (DDR) signalent en temps réel les dérives de données.

Des dizaines de politiques prêtes à l'emploi détectent et corrigent les expositions de données des citoyens de l'UE. Celles-ci permettent aux clients de mesurer et d'attester facilement des contrôles de sécurité et de confidentialité. Cela vous permet ainsi de prouver aux régulateurs que vous prenez la confidentialité des citoyens de l'UE au sérieux.

Si vous recherchez une solution de sécurité conçue et développée pour répondre à la complexité des architectures modernes, ne cherchez pas plus loin. Inscrivez-vous pour une évaluation gratuite des risques liés aux données et commençons à bâtir ensemble les bases d’une protection globale des données. Nous aidons des dizaines d’entreprises à résoudre des expositions au RGPD affectant des millions d’enregistrements. En ce cinquième anniversaire de l’entrée en vigueur du RGPD, nous sommes prêts à vous accompagner également.