RGPD (Règlement Général de la Protection des Données)

Suis-je éligible au RGPD ?

La mise en place d’un registre des traitements est obligatoire pour les sociétés de plus de 250 salariés. Il s’applique aux entreprises qui sont en-deçà de cet effectif dès lors que le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, qu’il n’est pas occasionnel ou qu’il porte sur des catégories particulières de données, par exemple : les données sur des origines raciales ou ethniques, opinions politiques, convictions religieuses, philosophiques ou appartenance syndicale, données génétiques ou biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou celles concernant la vie ou l’orientation sexuelles et enfin celles relatives à des condamnations pénales.

Que dois-je faire pour être conforme ?

Pour se conformer, votre organisation doit rapidement cartographier l’ensemble des traitements, physiques ou technologiques, qui impliquent des données personnelles ou susceptibles d’établir par croisement une identification d’une personne unique. Sous le contrôle du régulateur, une étude d’impact sur la vie privée doit ensuite être menée pour les traitements à risque. Enfin, vous devrez mettre en place un protocole permettant de notifier les failles de sécurité à la CNIL et, le cas échéant, aux personnes concernées, dès lors qu’une suspicion d’intrusion ou de fuite est détectée. L’ensemble de ces activités fait partie des prérogatives de votre délégué à la protection des données (DPO – Data Protection Officer). Fonction qui, si elle n’existe pas encore dans votre entreprise doit être créée au plus tôt.

Qu’entend-on dans le réglement par « Accountability » ?

Le cadre juridique du RGPD introduit une nouvelle sémantique et un ensemble de nouveaux termes. Ainsi la notion «d’obligation de déclaration» n’existe plus tandis que celle «d’information» subsiste. Concernant l’«accountability» il n’y a pas de traduction littérale en français. Ce principe suit une logique de conformité et non plus une logique déclarative comme c’était le cas jusqu’à présent. Le RGPD impose ainsi au responsable du traitement d’adopter des règles internes et de mettre en œuvre les mesures appropriées pour garantir et être à même de démontrer que le traitement des données à caractère personnel est effectué dans le respect de la réglementation.

Que veulent dire « Privacy by design » et « Privacy by default » ?

Les principes de «protection des données dès la conception (privacy by design) et par défaut (privacy by default)» définis à l’article 25 du règlement européen impliquent que les données collectées soient limitées au strict besoin de traitement et proprement sécurisées. Les entreprises seront désormais tenues d’anticiper les sujets relatifs aux traitements de données dès les premières étapes de leurs projets informatiques, afin qu’il soit vérifié en amont que les développements à intervenir ou les logiciels à implémenter, sont conformes aux exigences imposées par le règlement.

Comment savoir si je suis compliant RGPD ? IDnomic peut-il m’accompagner pour la mise en conformité ?

La mise en conformité de votre entreprise pour le traitement des données personnelles est un processus à la fois organisationnel, juridique et technologique. Il couvre aussi bien la protection des données de vos collaborateurs que celles de vos clients ou vos fournisseurs. IDnomic a mis en place une méthode d’audit flash permettant de vous fournir un état des lieux objectif de votre niveau de compliance. Contactez-nous !

Je suis client Cloud : quelles sont les garanties apportées par IDnomic en tant que sous-traitant ?

Véritable industriel se mettant au service d’une ou de plusieurs Autorités de Certification, IDnomic est un Tiers de Confiance en charge de la fabrication technique du certificat électronique pour le compte et sur l’ordre de l’Autorité de Certification. Il s’agit d’une prestation industrielle, d’une relation de sous-traitance technique en mode Cloud. Le centre de production d’IDnomic est disponible à l’usage exclusif d’IDnomic, doté de moyens de protection physique et électronique (contrôle d’accès, systèmes anti-intrusion, vidéo-protection…), il est organisé en différentes zones d’accès physique et reste placé sous le contrôle unique d’IDnomic 24h/24, 7j/7. Un suivi rigoureux et unitaire des éléments sensibles (clés cryptographiques, matériels informatiques, principe des secrets partagés et de séparation des rôles, etc.) est pratiqué par une équipe multi compétences : R&D, engineering, sécurité, opération. Des moyens de supervision et de remontée d’alerte complètent le dispositif afin d’assurer un contrôle continu et permanent des opérations. De plus, en tant que sous-traitant basé en France, nous avons mis à jour nos conditions contractuelles pour tenir compte des exigences requises par le RGPD dans ce domaine.

CRYPTOGRAPHIE SYMÉTRIQUE / ASYMÉTRIQUE

Qu’est-ce que la cryptographie ?

La cryptographie est une des disciplines de la cryptologie s’attachant à protéger des messages et assurant confidentialité, authentification et intégrité en s’aidant de secrets ou clés.

Cryptographie symétrique

La cryptographie symétrique a longtemps été utilisée pour le chiffrement de messages confidentiels. Son usage a été progressivement réduit depuis l’apparition de la cryptographie à clé publique (cryptographie asymétrique) même si les deux techniques sont encore parfois utilisées conjointement. Dans le chiffrement à clé symétrique ou clé secrète, c’est la même clé qui sert à la fois à chiffrer et à déchiffrer un message. C’est exactement le même principe qu’une clé de porte : c’est la même qui sert à ouvrir et à fermer une serrure.

Cryptographie asymétrique

La cryptographie asymétrique, comme son nom l’indique, est une méthode utilisée pour transmettre et échanger des messages de façon sécurisée en s’assurant de respecter les principes suivants :

– Authentification de l’émetteur
– Garantie d’intégrité
– Garantie de confidentialité

Cette technique repose sur le principe de « paire de clés » (ou bi-clés) composée d’une clé dite « privée » conservée totalement secrète et ne devant être communiquée à personne et d’une clé dite « publique » qui, comme son nom l’indique peut être transmise à tous sans aucune restriction.
Les clés dites asymétriques sont des clés de chiffrement. Le chiffrement étant le nom général donné aux techniques mathématiques de codage ou de décodage des données.

Quels sont les principes généraux de la cryptographie asymétrique ?

Les principes généraux de la cryptographie à clé publique sont les suivants :

– Un message codé avec une clé privée ne peut être décodé que par la clé publique associée
– Un message codé avec une clé publique ne peut être décodé que par la clé privée associée
– Une clé publique donnée ne peut être associée qu’à une seule clé privée
– Plusieurs clés privées différentes ne peuvent pas avoir la même clé publique comme clé complémentaire
– Une clé privée donnée ne peut être associée qu’à une seule clé publique
– Plusieurs clés publiques différentes ne peuvent pas avoir la même clé privée comme clé complémentaire

Quel est le rapport entre clés publiques et certificats électroniques ?

La problématique centrale de la cryptographie à clé publique est la probité de la clé publique reçue de son interlocuteur. Les certificats électroniques permettent de résoudre cette contrainte. Un certificat électronique est un document électronique qui associe le nom d’une personne physique, morale, site web, routeur à une clé publique. A l’instar d’une carte d’identité traditionnelle qui établit la correspondance entre un visage, un nom et une signature manuscrite, le certificat permet d’établir le lien d’appartenance entre une clé publique et son propriétaire.

IDNOMIC GARANTIT VOTRE SÉCURITÉ

Qu’est-ce qu’un Tiers de Confiance ?

Un Tiers de Confiance est un organisme habilité à délivrer des identités électroniques reposant sur des architectures PKI (Public Key Infrastructure).

N’est-il pas risqué d’externaliser sa sécurité ?

Le niveau de sécurité global d’une chaîne est celui du maillon le plus faible. Quel est alors votre maillon le plus faible dans le cas d’une solution logicielle ? En particulier, comment est protégée la clé centrale du système sur laquelle repose toute votre infrastructure de confiance ? Quelles sont les procédures physiques et logiques que vous comptez mettre en place pour contrôler la production des certificats électroniques ? Combien de personnes seront dédiées au contrôle du bon respect de ces procédures ? IDnomic vous propose d’héberger et d’opérer cette clé privée racine à votre place. IDnomic dispose pour cela de locaux hautement sécurisés, opérant des infrastructures techniques. Ce centre de production est régulièrement soumis aux audits les plus stricts, en particulier par les autorités gouvernementales et bancaires. IDnomic n’a pas connaissance des clés privées des utilisateurs qui restent dans l’entreprise ; IDnomic ne reçoit que des informations publiques validées par l’entreprise (clés publiques notamment) et s’engage à établir dans les meilleures conditions de sécurité les identités électroniques infalsifiables des collaborateurs sur la base de ces seules informations.

Quel est le rôle d’IDnomic vis-à-vis d’une AC ?

IDnomic est un Opérateur de Services de Certification électronique. Véritable industriel se mettant au service d’une ou de plusieurs Autorités de Certification, IDnomic se charge de la fabrication technique du certificat électronique, pour le compte, et sur ordre de l’Autorité de Certification. Il s’agit d’une relation de sous-traitance technique. En particulier, il n’est pas du ressort d’IDnomic de définir les procédures de vérification d’identité qui conduisent à l’émission de certificats électroniques ni les conditions qui amènent l’entreprise à demander la révocation de tel ou tel certificat électronique au sein de son organisation. IDnomic opère donc les PKI des Autorités de Certification qui le souhaitent, et laisse à celles-ci un contrôle total sur les modes d’attribution, de diffusion et d’administration des certificats électroniques que ces AC délivrent.

Est-il possible de sécuriser une flotte mobile à l’aide d’une PKI ?

Une infrastructure PKI est une technologie de sécurité reconnue et fiable que les organisations utilisent depuis des décennies pour authentifier les utilisateurs, les machines et les serveurs. Utiliser une PKI pour les appareils mobiles permet de mettre en œuvre une solution de gestion des identités rentable et facile à implémenter pour les appareils de l’entreprise et des employés. Les certificats électroniques peuvent ainsi être utilisés sur les appareils mobiles pour :

– La signature et le chiffrement des e-mails
– L’authentification des e-mails
– L’authentification aux VPN et réseaux Wi-Fi