Préparez votre entreprise au RGPD

Tout ce qu’il faut savoir sur le règlement général sur la protection des données (RGPD)

Le règlement général sur la protection des données (RGPD) de l’Union européenne est une loi historique sur la confidentialité entrée en application le 25 mai 2018. Okta s’engage pour la réussite de ses clients. Nous les aidons à se conformer aux dispositions du RGPD grâce aux fonctionnalités complètes de confidentialité et de sécurité offertes par Okta Identity Cloud. Précisons que le contenu de cette page (liens inclus) n’a pas valeur de conseil juridique et revêt un caractère purement informatif. Pour obtenir un avis ou conseil de cette nature, adressez-vous à l’équipe juridique de votre entreprise.

Avenant relatif au traitement des données d’Okta

Okta a publié un avenant mis à jour relatif au traitement des données (« avenant ») afin d’aider ses clients à se conformer au RGPD. Cet avenant constitue une mise à jour des accords existants de nos clients avec Okta et définit les obligations d’Okta en vertu du RGPD en ce qui concerne la fourniture de son service. L’avenant d’Okta, qui inclut des instructions en libre-service destinées aux clients d’Okta sur l’interprétation du document à la page 1, est disponible ici sur notre site web.

Qu’est-ce que le RGPD ?

Le RGPD a pour principal objectif d’unifier les lois et réglementations existantes, disparates et parfois contradictoires en vigueur dans l’Union européenne (UE), ainsi que de renforcer la protection des données à caractère personnel des individus face à l’évolution rapide du paysage technologique, à l’interconnexion et à la mondialisation accrues, ainsi qu’à la sophistication croissante des transferts internationaux de données à caractère personnel.  Le RGPD remplace la mosaïque de lois nationales sur la protection des données par une loi unique et complète, directement applicable dans tous les pays membres de l’UE.

Plus spécifiquement, le RGPD réglemente le « traitement », qui inclut la collecte, le stockage, l’utilisation et le transfert de données à caractère personnel de citoyens de l’UE. Toute entreprise (qu’elle soit située ou non dans un pays de l’UE, et qu’elle dispose ou non de bureaux dans un pays de l’UE) qui traite les données à caractère personnel de citoyens de l’UE doit se conformer au RGPD.  En vertu du RGPD, l’UE donne une définition large des « données à caractère personnel », afin que la loi couvre toute information concernant un individu identifié ou identifiable.

Quelles données sont réglementées par le RGPD ?

Le RGPD réglemente la collecte, le traitement et le stockage des données à caractère personnel des citoyens de l’UE par les entreprises. Les données à caractère personnel incluent toute information pouvant être reliée à un citoyen particulier de l’UE. Certaines données à caractère personnel réglementées par le RGPD sont plutôt évidentes, p. ex. les adresses e-mail et les numéros d’identification des collaborateurs. Certains aspects sont cependant moins évidents à première vue. Le RGPD réglemente également les informations qui pourraient permettre de retracer l’identité d’une personne ; selon les circonstances, il peut donc couvrir les données comportementales et de géolocalisation. À des fins de pérennité, la loi ne fournit pas de liste exhaustive des types de données à caractère personnel. En règle générale, toutes les données identifiant un citoyen de l’UE sont considérées comme des données à caractère personnel.

À qui s’applique le RGPD ?

Le RGPD s’applique dans le monde entier à toute entité qui collecte, stocke ou traite les données à caractère personnel de citoyens de l’Union européenne. Il classe ces entités en deux catégories : les responsables du traitement et les sous-traitants. Globalement, ces catégories peuvent être définies comme suit :

Un responsable du traitement exerce un contrôle sur le traitement des données à caractère personnel et détermine les données à collecter.

Un sous-traitant agit sur instruction du responsable du traitement pour collecter, stocker, récupérer ou supprimer des données à caractère personnel.

Quel va être l’impact du RGPD sur votre entreprise ?

Les principales conséquences négatives potentielles d’un manquement au RGPD sont des amendes et une atteinte à la réputation de l’entreprise aux yeux de ses collaborateurs, partenaires commerciaux, clients et autres entités dont elle gère les données à caractère personnel.

87 % des CIO craignent que les politiques de sécurité des informations actuelles de leur entreprise ne soient pas suffisantes pour satisfaire aux nouvelles exigences rigoureuses du RGPD.

– Rapport publié en 2016 par Egress Software Technologies

Données de tiers

Incluent les données à caractère personnel des citoyens de l’UE, p. ex. celles des clients ou des partenaires d’une entreprise.

Données de votre entreprise

Incluent les données à caractère personnel des citoyens de l’UE, p. ex. celles de vos collaborateurs.

Quel est votre degré de préparation ?

Le RGPD comprend de nombreuses dispositions. Le groupe de travail de l’article 29, une organisation de l’Union européenne qui facilite la mise en œuvre de la réglementation, fournit des conseils aux entreprises concernant les détails de la promulgation et de l’application de la loi. Plusieurs points clés peuvent toutefois être pris en compte dès à présent par les entreprises afin d’assurer leur conformité.

Données de votre entreprise

Assurez-vous d’être capable de localiser, corriger, copier et effacer les données des citoyens de l’UE que votre entreprise collecte, traite ou stocke. Par exemple, en vertu du RGPD, les citoyens de l’UE disposent de davantage d’options pour demander aux entreprises qui stockent, traitent et contrôlent leurs données à caractère personnel de supprimer ces données si :

  • celles-ci ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ;
  • ils retirent leur consentement ;
  • ils ont des objections à leur traitement.

Capacité à transférer des données à caractère personnel sur demande

Une autre exigence majeure du RGPD concerne le droit à l’accès et à la portabilité des données.

Tout citoyen de l’UE doit être capable de transférer ses données à caractère personnel d’un système de traitement à un autre sans interférence du responsable du traitement. Le responsable du traitement doit également fournir ces données à l’individu dans un format électronique ouvert couramment utilisé.

L’engagement d’Okta envers la conformité au RGPD

Nous considérons le RGPD comme une étape importante de la simplification et de l’unification des exigences en matière de protection des données en vigueur dans l’UE, mais aussi comme une opportunité pour Okta de renforcer son engagement de longue date envers les principes et pratiques de protection des données.  

Okta se conforme au RGPD lors de la fourniture de son service à ses clients. Nous avons analysé en détail les exigences du RGPD et nous nous sommes appuyés sur nos observations pour apporter des améliorations à nos produits et services, notre documentation et nos documents contractuels afin d’aider nos clients à respecter les exigences de conformité du RGPD.

Bien qu’Okta ne puisse pas résoudre tous les défis présentés par le RGPD, la gestion des identités et des accès à l’aide d’un produit tel que la plateforme Okta peut fournir une base solide pour la conformité au RGPD et réduire les risques qui pèsent sur votre entreprise. Adressez-vous à votre équipe juridique pour comprendre comment le RGPD peut s’appliquer à votre entreprise.

En 2016, chaque collaborateur utilisait en moyenne 36 services cloud. En moyenne, chaque entreprise avait recours à plus de 1 400 services cloud.

– 12 Must-Know Statistics on Cloud Usage in the Enterprise, Skyhigh

N’oubliez pas que toute autre entité traitant les données à caractère personnel de citoyens de l’UE collectées par votre entreprise, y compris les fournisseurs, les partenaires et les applications, pourrait avoir une incidence sur votre profil de risque global. Okta offre consolidation et visibilité sur l’utilisation des données à caractère personnel, ce qui peut vous aider à répondre aux besoins de votre entreprise et de vos clients en matière de sécurité et de conformité.

Notre plateforme aide les utilisateurs individuels et les grandes entreprises à assurer leur conformité au RGPD :

Gestion des identités et des accès (IAM) pour les entreprises

Sécurité et conformité globales pour les collaborateurs et autres partenaires avec qui les entreprises travaillent. Par exemple, Flex a déployé Okta pour ses fournisseurs et ses employés.

Gestion des identités et des accès (IAM) pour les clients

Sécurité et conformité de bout en bout pour les identités fournies aux clients. Par exemple, la sécurité de la plateforme client d’Adobe est assurée par Okta.