Le Règlement Général sur la Protection des Données (RGPD) constitue le plus grand bouleversement de la législation européenne sur la protection des données depuis trois décennies. La directive sur la protection des données actuelle est antérieure à l'avènement du cloud, des médias sociaux, de l'internet des objets et d'autres technologies que nous tenons aujourd'hui pour acquis. Bon nombre des entreprises disposant d'un grand nombre de données connues ont également été fondées après la législation existante. Le RGPD est donc une mise à jour bienvenue.
Le RGPD poursuit les grands principes de protection des données déjà bien établis dans la législation. Mais elle impose une multitude d'exigences et de considérations nouvelles à toute organisation qui traite des données personnelles. Il est important de noter que les conséquences d'une mauvaise protection des données pour les entreprises sont graves:
1
Une amende pouvant aller jusqu'à 2% du chiffre d'affaires global pour les infractions techniques et jusqu'à 4% pour les infractions aux principes établis par la loi.
2
Introduction d'une déclaration obligatoire des atteintes à la protection des données à caractère personnel, ce qui inclut l'alerte des personnes concernées en cas d'atteinte à la protection des données (s'il s'agit d'une violation importante).
3
La possibilité d'un procès collectif intenté au nom des personnes concernées.
4
Potentiellement, l'interdiction totale du traitement des données personnelles (dans les cas extrêmes).
Intuitive Password est pleinement conforme au RGPD
Chez Intuitive Security Systems Pty Ltd, notre contrôle continu de conformité et nos actions s'appuient sur nos investissements existants en termes de confidentialité, de sécurité et des processus opérationnels nécessaires pour répondre aux exigences du RGPD et d'autres réglementations applicables. Intuitive Security Systems Pty Ltd participe au Bouclier des protection des données de l'UE et est déjà conforme à toutes les règles actuelles de l'UE en matière de protection des données. D'ici le 25 mai 2018, l'entreprise sera également conforme au réglement RGPD.
Pour nous assurer que les clients comprennent la philosophie globale d’Intuitive Security Systems Pty Ltd concernant le RGPD, nos objectifs à la date où il prendra effet et comment ils pourront utiliser Intuitive Password d’une manière conforme au RGPD, il est important d’avoir à l’esprit quelques points:
1
En terminologie RGPD, Intuitive Password est un « Processeur de Données » et vous, notre client, êtes le « Contrôleur de Données », pour toutes les données client envoyées ou générées. Cela signifie que c’est à vous de déterminer la finalité de toute donnée envoyée par vous-même ou par les utilisateurs de votre compte. Intuitive Password respectera vos instructions ainsi que les termes de tout accord écrit ou contrat concernant l’utilisation des données selon les capacités du produit.
2
En tant que Contrôleur de Données, vous êtes également responsable de la relation directe avec les utilisateurs au niveau de votre compte, ces utilisateurs sont considérés comme des « Personnes Concernées » par le RGPD. Les Personnes Concernées ont certains droits en vertu de la loi, et Intuitive Password vous fournit des outils pour aider les Personnes Concernées dans l’exercice de leurs droits. Si votre relation avec Intuitive Password venait à prendre fin, vos données seraient détruites au plus vite à la fin du contrat. Ceci a pour but de protéger la confidentialité et la sécurité des données.
3
À tout moment, vous avez le droit et les outils nécessaires pour obtenir toutes les informations envoyées ou générées par le client auprès d’Intuitive Password. Nous vous facilitons la conservation de votre propre copie des données. Il est très important de garder à l’esprit qu’en utilisant Intuitive Password, vous n’êtes pas nécessairement ou automatiquement en entière conformité avec le RGPD. Nous vous encourageons à vérifier que vous êtes en conformité avec tous les aspects de la législation, et à obtenir des conseils juridiques si besoin.
Comme noté ci-dessus, Intuitive Security Systems Pty Ltd sera bien en conformité avec le RGPD et nous pensons qu’Intuitive Password pourrait aider ses clients dans leurs efforts pour s’y conformer grâce aux aspects suivants:
Sécurité:
Intuitive Password est bâti autour du chiffrement AES 256 bits avec PBKDF2 SHA-256 et des hashs salés pour assurer la protection des données dans le cloud. Intuitive Password opère également sur une infrastructure cloud et passe plusieurs tests de sécurité chaque année. Ceci peut rassurer les clients quant aux réserves qu’ils pourraient avoir en termes de chiffrement, de pseudonymat et/ou d’anonymat.
Architecture à divulgation nulle de connaissance:
Intuitive Password est basé sur l’idée que l’utilisateur est la seule personne pouvant accéder à ses données. C’est en alignement parfait avec les principes et conditions de protection de données du RGPD. En séparant les données et les clés de chiffrement, aucun employé d’Intuitive Password ne pourra accéder aux données des clients. S’il devait y avoir une brèche au niveau d’Intuitive Password, le texte chiffré ne serait d’aucune utilité aux pirates et aucune action immédiate ne serait requise.
Aucun traitement supplémentaire:
Intuitive Password ne minera jamais les données des clients, quel qu’en soit le but. Tout d’abord, c’est une question de politique du plus haut niveau chez Intuitive Password: nous sommes dévoués à la confidentialité des données des clients. Ensuite, à cause de notre architecture à divulgation nulle de connaissance, il nous est techniquement impossible de le faire. Ceci est conforme aux principes du RGPD de politiques organisationnelles et techniques de protection des données personnelles.
Suppression des données:
Intuitive Password permet aux client d’exporter leurs données et de supprimer leur compte en cas de besoin. Cette fonctionnalité permet au client d’être conforme aux exigences de suppression de données personnelles une fois l’utilisation initiale faite, en cas de retrait du consentement ou si un besoin professionnel n’est plus d’actualité.
Protection de la vie privée:
Intuitive Password est basé sur le principe de la divulgation nulle de connaissance. Cela signifie que par défaut, seule la Personne Concernée a accès à ses données sensibles, et cette fonctionnalité peut être considérée comme une pratique de protection de privée acceptable.
Foire aux questions
En tant qu’entreprise Australienne, Intuitive Password est-elle obligée de se conformer au RGPD?
Oui. En que fournisseur mondial de software-as-a-service, nous avons plusieurs clients dans l’UE (et dans l’Espace Économique Européen ou EEE), ce qui veut dire que le RGPD est tout aussi valable pour nous. Ainsi, nous nous conformerons aux dispositions du RGPD le 25 mai 2018 au plus tard.
J’ai lu des choses sur les « contrôleurs de données » et les « processeurs de données ». Quelle est la différence et lequel des deux est Intuitive Password?
Pour paraphraser le texte officiel: (a) un Contrôleur de Données est propriétaire de ses informations et décide de l’utilisation de ces informations; et (b) un Processeur de Données est une personne ou une entité traitant les données personnelles du Contrôleur de Données et suit les instructions du Contrôleur concernant ces données. De manière générale, nos clients seront les Contrôleurs de leur Contenu (selon la définition du terme dans nos Conditions Générales), y compris toutes les informations personnelles associées envoyées ou générées par nos systèmes, et Intuitive Password sera le Processeur en leur nom. Dans ces circonstances limitées et explicitement définies, comme dans le cas où nous collectons des données d’un client pour créer un compte, Intuitive Password sera le Contrôleur.
Qu’est-ce qu’un fournisseur à divulgation nulle de connaissance?
Intuitive Password est un fournisseur de sécurité à divulgation nulle de connaissance. L’utilisateur d’Intuitive Password est la seule personne ayant un contrôle total sur le cryptage et le décryptage de ses données. Avec Intuitive Password, le cryptage et le décryptage se font sur l’appareil local de l’utilisateur ou sur son navigateur web après s’être connecté à son compte. Chaque enregistrement stocké sur le compte de l’utilisateur est crypté avec une clé sécurisée AES 256 bits. Les clés d’enregistrement sont protégées par une clé supplémentaire appelée la Clé de Chiffrement des Données. La Clé de Chiffrement des Données est chiffrée par une clé dérivée des identifiants de connexion de l’utilisateur. Le modèle de chiffrage à plusieurs parties offre la protection de données la plus avancée de l’industrie.
Quels changements sont mis en œuvre par Intuitive Password pour rester conforme au RGPD?
En tant que plate-forme à divulgation nulle de connaissance, les informations stockées dans notre produit sont entièrement chiffrées et ne sont disponibles qu’à l’utilisateur. Nous avons apporté des changements à nos systèmes d’analyse pour assurer l’anonymat de nos clients, et avons fait des changements pour vous permettre de contrôler votre consentement sur la manière dont toute information personnelle pouvant être collectée sur vous peut être utilisée ou stockée.
Le RGPD empêche-t-il une entreprise de stocker des informations en-dehors de l’UE?
Non, il n’y a actuellement rien dans le RGPD qui empêche ou suggère ceci. Le RGPD met en avant le fait que les Processeurs de Données doivent protéger les données personnelles de manière appropriée, quel que soit le lieu où elles sont stockées. De plus, le RGPD n’invalide pas et ne remplace pas les Clauses du Modèle de l’UE (qui font partie intégrante de l’Accord de Traitement de Données d’Intuitive Password qui est conforme au RGPD) ou au Bouclier de Protection des Données de l’UE, qui sont tous deux des mécanismes valides pour assurer le transfert légal de données personnelles au sein et en-dehors de l’UE.
Proposez-vous un accord de traitement de données?
Oui. Intuitive Password est ravi de proposer un Accord de Traitement des Données conforme au RGPD incluant: (1) les Clauses Contractuelles Standards de l’UE (également appelées « Clauses du Modèle de l’UE »); (2) les Mesures de Sécurité des Données Techniques et Organisationnelles d’Intuitive Password; et (3) un accord spécifique avec le RGPD. Cet Accord de Traitement des Données conforme au RGPD assure que tout transfert de données personnelles à l’extérieur de la Zone Économique Européenne lié à votre relation avec Intuitive Password sera fait en conformité avec le RGPD.
Où sont stockées mes données?
Toutes les données d’Intuitive Password résident en Australie. Nos datacenters primaire et de sauvegarde se trouvent tous deux à Melbourne et à Sydney.
