RGPD
Conformez-vous aux exigences de protection des donnees de l'UE avec CyberOrigen.
Vue d'Ensemble
Le RGPD (Reglement General sur la Protection des Donnees) est la loi complete de l'UE sur la protection des donnees. Il s'applique a toute organisation traitant des donnees personnelles de residents de l'UE.
Principes Cles
| Principe | Description |
|---|---|
| Licéité | Base juridique du traitement |
| Limitation des Finalites | Finalites specifiques et explicites |
| Minimisation des Donnees | Uniquement les donnees necessaires |
| Exactitude | Maintenir les donnees exactes |
| Limitation de Conservation | Ne pas conserver plus longtemps que necessaire |
| Integrite et Confidentialite | Securite du traitement |
| Responsabilite | Demontrer la conformite |
Articles du RGPD
Chapitre 2 : Principes
| Article | Titre |
|---|---|
| 5 | Principes relatifs au traitement |
| 6 | Licéité du traitement |
| 7 | Conditions du consentement |
| 8 | Consentement de l'enfant |
| 9 | Categories speciales de donnees |
| 10 | Traitement des donnees penales |
| 11 | Traitement sans identification |
Chapitre 3 : Droits des Personnes Concernees
| Article | Titre |
|---|---|
| 12 | Information transparente |
| 13 | Information lors de la collecte |
| 14 | Information non collectee aupres de la personne |
| 15 | Droit d'acces |
| 16 | Droit de rectification |
| 17 | Droit a l'effacement |
| 18 | Droit a la limitation |
| 19 | Obligation de notification |
| 20 | Droit a la portabilite |
| 21 | Droit d'opposition |
| 22 | Decision automatisee |
Chapitre 4 : Responsable du Traitement et Sous-traitant
| Article | Titre |
|---|---|
| 24 | Responsabilite du responsable du traitement |
| 25 | Protection des donnees des la conception |
| 28 | Obligations du sous-traitant |
| 30 | Registre des activites de traitement |
| 32 | Securite du traitement |
| 33 | Notification de violation a l'autorite |
| 34 | Notification de violation aux personnes |
| 35 | Analyse d'impact sur la protection des donnees |
| 37 | Delegue a la protection des donnees |
Pour Commencer
1. Activer le Referentiel
- Allez dans GRC → Referentiels
- Cliquez sur S'inscrire sur RGPD
- Cliquez sur Activer
2. Inventaire des Donnees
Documentez le traitement des donnees personnelles :
- Identifiez les categories de donnees
- Cartographiez les flux de donnees
- Documentez la base juridique
- Enregistrez dans le registre des traitements
3. Evaluation de Securite
Evaluez les exigences de l'Article 32 :
- Chiffrement
- Confidentialite
- Integrite
- Disponibilite
- Resilience
Controles Cles
Article 32 - Securite
| Exigence | Fonctionnalite CyberOrigen |
|---|---|
| Chiffrement | Analyse TLS/chiffrement |
| Confidentialite | Analyse des controles d'acces |
| Integrite | Verifications d'integrite des fichiers |
| Disponibilite | Surveillance de la disponibilite |
| Tests | Analyse de vulnerabilites |
Article 25 - Protection des Donnees des la Conception
| Principe | Implementation |
|---|---|
| Proactif | Evaluation des risques |
| Parametres par defaut | Verifications de configuration |
| Cycle de vie complet | Gestion des preuves |
| Securite | Analyse continue |
| Visibilite | Journalisation d'audit |
| Centre utilisateur | Controles d'acces |
Droits des Personnes Concernees
Execution des Droits
Suivez et repondez aux demandes des personnes concernees :
| Droit | Delai | Documentation |
|---|---|---|
| Acces (Art. 15) | 30 jours | Journal des demandes |
| Rectification (Art. 16) | 30 jours | Registre des modifications |
| Effacement (Art. 17) | 30 jours | Registre de suppression |
| Portabilite (Art. 20) | 30 jours | Format d'export |
| Opposition (Art. 21) | 30 jours | Registre des reponses |
Suivi CyberOrigen
- Allez dans GRC → Bibliotheque de Controles
- Suivez les controles DSR
- Documentez les procedures
- Liez les preuves
Notification de Violation
Calendrier
| Action | Delai |
|---|---|
| Detecter la violation | Des que possible |
| Notifier la CNIL | 72 heures apres prise de connaissance |
| Notifier les personnes | Sans retard injustifie |
Que Signaler
- Nature de la violation
- Categories de donnees affectees
- Nombre approximatif de personnes concernees
- Contact du DPO
- Consequences probables
- Mesures prises
Support CyberOrigen
- Detection des vulnerabilites
- Renseignement sur les menaces
- Documentation des incidents
- Suivi de remediation
Exigences AIPD
Quand Requise
Analyse d'Impact sur la Protection des Donnees necessaire pour :
- Profilage systematique
- Donnees sensibles a grande echelle
- Surveillance systematique du public
- Nouvelles technologies
Processus AIPD
- Decrire le traitement
- Evaluer la necessite
- Identifier les risques
- Attenuer les risques
- Documenter le resultat
Gestion des Fournisseurs
Accords de Sous-traitance
Suivez les exigences de l'Article 28 :
- Allez dans GRC → Fournisseurs
- Ajoutez les sous-traitants de donnees
- Telechargez les DPA
- Suivez la conformite
Gestion des Sous-traitants Ulterieurs
- Documentez les sous-traitants ulterieurs
- Assurez la couverture DPA
- Surveillez les changements
Mappage des Controles
Le RGPD se mappe aux autres referentiels :
| Article RGPD | SOC 2 | ISO 27001 |
|---|---|---|
| Art. 32 Securite | CC6.1, CC6.7 | A.8.24 |
| Art. 30 Registres | CC2.2 | A.5.9 |
| Art. 33 Violation | CC7.3 | A.5.24 |
| Art. 35 AIPD | CC3.1 | 6.1.2 |
Collecte des Preuves
Preuves Automatisees
- Rapports d'analyse de securite
- Revues d'acces
- Verification du chiffrement
- Evaluations de configuration
Preuves Manuelles
- Politiques de confidentialite
- Registres de traitement
- Registres de consentement
- AIPD
- DPA avec les sous-traitants
Lacunes Courantes
| Exigence | Probleme | Solution |
|---|---|---|
| Art. 30 | Pas de registres de traitement | Documentation |
| Art. 32 | Chiffrement faible | Mise a niveau du chiffrement |
| Art. 33 | Pas de processus de violation | Plan de reponse aux incidents |
| Art. 37 | Pas de DPO designe | Designation du DPO |
Sanctions
| Violation | Amende Maximale |
|---|---|
| Niveau inferieur | 10M EUR ou 2% du CA |
| Niveau superieur | 20M EUR ou 4% du CA |