RGPD et cybersécurité : ce que votre PME doit savoir
Le Règlement Général sur la Protection des Données (RGPD) impose des obligations de sécurité technique aux entreprises qui traitent des données personnelles. Le test d'intrusion et la surveillance continue sont des mesures concrètes pour démontrer votre conformité.
Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES
RGPD et NIS2 : complémentaires, pas redondants
RGPD
Protège les données personnelles. S'applique à toute entreprise traitant des données de résidents EU. Supervisé par la CNIL en France.
NIS2
Protège les systèmes d'information. S'applique aux entités essentielles et importantes dans 18 secteurs. Supervisé par l'ANSSI.
Les deux réglementations coexistent. Un pentest couvre les exigences de sécurité technique des deux cadres simultanément. En savoir plus sur la directive NIS2 et les recommandations ANSSI.
Les obligations RGPD liées à la cybersécurité
Intégrité et confidentialité
Les données personnelles doivent être traitées de manière à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite, la perte, la destruction ou les dégâts d’origine accidentelle.
Laucked : Le diagnostic de surface identifie les points d’exposition de vos données. Le pentest vérifie que les contrôles d’accès protègent effectivement les données personnelles.
Protection des données dès la conception (Privacy by Design)
Le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour intégrer la protection des données dès la conception et par défaut.
Laucked : L’audit de votre architecture applicative identifie les failles de conception qui exposent les données personnelles. Nos recommandations intègrent le Privacy by Design.
Sécurité du traitement
Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées : pseudonymisation, chiffrement, capacité à assurer la confidentialité, l’intégrité et la disponibilité, et procédures pour tester et évaluer régulièrement l’efficacité des mesures.
Laucked : Le test d’intrusion (pentest) évalue concrètement l’efficacité de vos mesures de sécurité. Guard assure la surveillance continue de votre périmètre.
Notification de violation à la CNIL
En cas de violation de données personnelles, le responsable du traitement en notifie l’autorité de contrôle (CNIL) dans les 72 heures. La notification décrit la nature de la violation, les catégories de données concernées, les conséquences probables et les mesures prises.
Laucked : Guard monitoring détecte les incidents en temps réel. Nos rapports de pentest documentent les vulnérabilités identifiées et les mesures correctives, facilitant la démonstration de diligence en cas d’incident.
Communication à la personne concernée
Lorsqu’une violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement communique la violation à la personne concernée dans les meilleurs délais.
Laucked : La prévention est la meilleure protection : identifier et corriger les vulnérabilités avant qu’elles ne soient exploitées évite d’avoir à notifier vos clients.
Analyse d’impact (AIPD / DPIA)
Lorsqu’un traitement est susceptible d’engendrer un risque élevé, une analyse d’impact relative à la protection des données est requise. Elle évalue les mesures de sécurité en place et leur proportionnalité.
Laucked : Les résultats de pentest alimentent directement votre AIPD en fournissant une évaluation concrète des risques techniques sur les traitements de données personnelles.
Sanctions RGPD
Niveau 1
Jusqu’à 10M€ ou 2% du CA mondial
Obligations du responsable ou du sous-traitant (articles 25, 32, 33)
Niveau 2
Jusqu’à 20M€ ou 4% du CA mondial
Principes de base du traitement, droits des personnes (articles 5, 6, 7)
Renforcez votre conformité RGPD
Un diagnostic de surface et un test d'intrusion couvrent les exigences de l'article 32 du RGPD et démontrent votre diligence en cas de contrôle CNIL.