Le protocole SFTP est il conforme au RGPD? Comment rendre SFTP conforme au RGPD
Avez-vous besoin que votre protocole SFTP soit conforme au RGPD? Voici les exigences du RGPD que votre entreprise devra prouver pour se conformer.
Le SFTP est-il conforme au RGPD? Non, le SFTP en lui-même n’est pas conforme au RGPD. Rendre le SFTP conforme nécessite des protocoles supplémentaires, des tests, des demandes de conformité et d’autres mesures de sécurité pour protéger les données personnelles. Cependant, certains fournisseurs proposent un SFTP compatible avec le RGPD qui est facile à rendre pleinement conforme.
Qu’est-ce que le RGPD et quel rôle joue le SFTP dans la conformité?
Le RGPD est un cadre de conformité de l’UE institué pour aider à protéger les consommateurs et soutenir leur contrôle sur leurs informations personnelles. Ces réglementations s’appliquent aux technologies de l’information et au matériel qui gère de quelque manière que ce soit les informations utilisateur, et elles fournissent des contrôles pour permettre aux utilisateurs de refuser le consentement ou de faire supprimer leurs informations personnelles des bases de données commerciales.
Ces règles s’appliquent donc aux technologies de transfert de fichiers comme le File Transfer Protocol. L’article 32 spécifie que les entreprises qui stockent, transmettent et utilisent des informations personnelles de consommateurs doivent prendre des mesures de sauvegarde techniques et organisationnelles appropriées pour les protéger, équilibrées contre des préoccupations commerciales raisonnables et une évaluation des risques. Cela inclut des technologies comme le cryptage et la pseudonymisation.
Cela rend le FTP vanille non conforme. Puisque la plupart des cadres de conformité aux États-Unis et dans l’UE exigent un certain type de cryptage, la plupart des entreprises utilisent le Secure FTP (SFTP) pour transférer des fichiers. Les entreprises qui utilisent le SFTP pour faire des affaires (transferts de fichiers et stockage de serveur contenant des informations personnelles de consommateurs) sont déjà sur la bonne voie pour la conformité mais doivent prendre des mesures supplémentaires pour s’assurer qu’elles sont conformes.
Cependant, le SFTP n’est pas lui-même complètement conforme. Bien qu’il fournisse un cryptage, il existe plusieurs façons dont un serveur SFTP peut ne pas répondre aux exigences:
- Le cryptage peut ne pas être suffisant: Bien que le SFTP inclut la technologie SSH (et donc une certaine forme de cryptage), toutes les solutions SFTP ne sont pas à jour ou appropriées pour les exigences du RGPD.
- Le serveur SFTP peut s’appuyer sur des scripts non testés ou non autorisés: Les flux de travail écrits dans différents langages de programmation, s’ils ne sont pas correctement sécurisés, pourraient entraîner la divulgation illégale de données utilisateur et une violation de la conformité.
- Les serveurs SFTP ne sont pas toujours accompagnés d’une documentation et d’une audit appropriés : le RGPD exige une forme de preuve montrant que des actions spécifiques ont été prises, à savoir que le consentement a été donné pour certains types d’utilisation des données ou que les demandes de suppression des données ont été suivies.
Le respect du RGPD, dans le cas du SFTP, nécessite une compréhension plus approfondie et la mise en œuvre de contrôles de sécurité qui répondent aux droits du sujet des données en vertu du RGPD.
Transfert de fichiers conforme au RGPD
Le transfert de fichiers conforme au RGPD est un ensemble de pratiques et de protocoles que les organisations doivent suivre pour s’assurer qu’elles ne violent pas le Règlement général sur la protection des données (RGPD) de l’Union européenne. Les méthodes comprennent le chiffrement et le déchiffrement des données, le stockage et la transmission des données, et la destruction des données. Cela garantit la confidentialité, l’intégrité et la disponibilité de l’information.
Les entreprises bénéficient de l’utilisation du transfert de fichiers conforme au RGPD car cela les aide à se conformer à leurs obligations légales et à éviter les répercussions financières, juridiques et réputationnelles de la non-utilisation. Les pénalités réglementaires, la perte de données des clients et les dommages à l’expérience du client sont toutes des pénalités financières potentielles résultant d’une violation du RGPD. De plus, les entreprises peuvent également être responsables des dommages découlant d’une violation, tels que les pertes financières et les dommages à la réputation, qui peuvent être difficiles à réparer pour les organisations.
Les répercussions financières, juridiques et réputationnelles de la non-utilisation du transfert de fichiers conforme au RGPD peuvent être sévères. Les amendes pour non-conformité vont de 10 millions d’euros à 4% du chiffre d’affaires annuel global d’une entreprise. De plus, toute violation du RGPD peut entraîner des poursuites judiciaires. Enfin, les entreprises qui ne se conforment pas peuvent subir des dommages irréparables à leur réputation et peuvent être sujettes à des critiques publiques et à des boycotts.
Quelles sont les meilleures pratiques pour se conformer au SFTP et au RGPD ?
Quelles sont les étapes qu’une entreprise peut prendre pour rendre leur utilisation du SFTP conforme ? Ils peuvent se concentrer sur l’adoption de la technologie qui peut répondre aux exigences, y compris :
- Des solutions qui utilisent des normes de chiffrement appropriées pour stocker et transmettre des données. Articles 5 et 6 du RGPD exige que l’information soit protégée avec une technologie qui peut assurer la protection et la confidentialité. De plus, ces articles exigent que tout traitement de données assure également la confidentialité des données, quoi qu’il arrive. Cela signifie généralement l’utilisation de technologies comme le SFTP utilisant AES-256 et TLS 1.2 ou supérieur.
- Inclure les journaux d’audit. Il n’y a pas d’appel spécifique pour l’audit, mais il y a une exigence que certaines formes d’interaction soient respectées, notamment le consentement. Les journaux d’audit peuvent vous aider à fournir une trace de preuves qui peut démontrer aux auditeurs de conformité que vous respectez vos obligations. Notez que la journalisation sous le RGPD est différente des autres normes de conformité. Alors que toutes les méthodes de journalisation ne capturent pas les informations privées, beaucoup le font, et ces journaux doivent être conservés sous les mêmes contrôles de sécurité que toute autre information (y compris les sauvegardes de cryptage et d’autorisation).
- Utiliser une solution qui offre une visibilité et une accessibilité des données. L’une des exigences du RGPD, comme indiqué par l’article 39, est qu’une organisation doit avoir un Délégué à la protection des données dont les responsabilités incluent le suivi de la conformité, l’interface avec les régulateurs, et la garantie que les employés et autres parties prenantes comprennent leurs responsabilités en vertu du RGPD. Un tableau de bord fonctionnel de CISO peut aider le bureau d’un Délégué à la protection des données à comprendre les lacunes de conformité et à répondre plus rapidement aux ruptures de conformité lorsqu’elles se produisent.
Bien que ces points puissent sembler larges, la meilleure approche du RGPD est de supposer que toutes les données des consommateurs collectées doivent être protégées, que la confidentialité des consommateurs et les demandes de suppression des données doivent être respectées et qu’il existe une fonction de gestion claire pour les normes de conformité.
Quelles sont les pénalités pour non-conformité ?
Un serveur SFTP mal configuré peut être le ticket pour la non-conformité et des pénalités sévères. Celles-ci sont généralement organisées autour de la gravité de la non-conformité, des utilisateurs de données affectés et des mesures prises par l’organisation pour rectifier la situation.
Toutes les infractions ne conduisent pas à des amendes dès le départ. Les organismes de réglementation pourraient plutôt faire l’un des éléments suivants avant d’imposer des amendes :
- Émettre des avertissements
- Instituer une interdiction temporaire ou permanente de traitement
- Ordonner la résolution du problème ou la suppression des données
- Suspension des transferts vers d’autres pays
Dans le cas des amendes, cependant, le RGPD divise les pénalités en deux niveaux:
- Un maximum de 10 millions d’euros ou 2% du chiffre d’affaires mondial annuel (le plus élevé étant retenu) pour non-respect de certaines exigences du RGPD. Cela inclut l’infraction aux obligations en vertu des articles 8 (consentement de l’enfant), 11 (traitement qui ne nécessite pas d’identification), 25 (les données traitées sont spécifiquement pertinentes pour la tâche en cours), 39 (tâches d’un délégué à la protection des données), 42 (certification et conformité) et 43 (collaboration avec des organismes de certification appropriés).
- Un maximum de 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel (le plus élevé étant retenu) pour non-respect des exigences des articles 5, 6, 7, 9 ainsi que la violation délibérée des articles des niveaux inférieurs). Les principales pénalités ici sont liées aux ruptures dans les principes de traitement des données, au traitement correct des données à des fins commerciales, à la violation du consentement, aux droits des personnes concernées par les données, ou aux transferts vers des pays extérieurs.
Le RGPD impose des pénalités significatives et un serveur SFTP qui n’est pas correctement configuré pour gérer la sécurité et la confidentialité des consommateurs sera plus un passif qu’un atout qui pourrait coûter à votre organisation une part importante de revenus.
Conclusion
Si vous envisagez de faire des affaires avec des consommateurs dans l’UE, alors le RGPD est une réalité pour votre stratégie de conformité. La meilleure façon de positionner votre infrastructure technique avec succès est de travailler avec des outils qui peuvent vous aider à être en conformité en protégeant les données. La plateforme Kiteworks peut vous aider à vous conformer au RGPD en fournissant des technologies sécurisées comme des serveurs SFTP renforcés (cryptés au repos et en transit), l’intégration avec des modèles de sécurité matérielle pour le stockage des clés à l’épreuve du sabotage, MFT pour le RGPD, email pour le RGPD et des tableaux de bord CISO accessibles.
Avec la plateforme Kiteworks, vous obtenez:
- Un audit complet avec des rapports, incluant des rapports explicites sur le RGPD, pour aider à prouver et à suivre le consentement des utilisateurs. De plus, vous pouvez exporter les journaux système dans n’importe quelle solution SIEM, y compris IBM QRadar, Logrhythm et Splunk.
- Un pare-feu de contenu pour centraliser les données et la gouvernance de la sécurité pour tous vos serveurs SFTP. Cela inclut les contrôles d’accès pour les administrateurs et les utilisateurs finaux, les contrôles d’authentification basés sur des certificats, un antivirus intégré et une protection pour les données sortantes avec des serveurs de prévention de perte de données (DLP).
- Un système d’accès par rôle robuste utilisant LDAP ou Active Directory avec des moyens supplémentaires pour désigner des utilisateurs de confiance dans des dossiers SFTP imbriqués. Désignez également des utilisateurs externes de confiance et établissez des contrôles d’accès aux données sur les serveurs SFTP pour garantir la conformité sur toutes les ressources SFTP.
Liste de contrôle en 10 étapes pour être conforme au RGPD
Une liste de contrôle peut aider les organisations à démontrer leur conformité au RGPD en fournissant une liste complète des étapes nécessaires qu’une organisation doit prendre pour se conformer à la réglementation. Cela pourrait inclure des choses comme la création d’une politique de RGPD, la conduite de sessions de formation pour le personnel et les sous-traitants qui peuvent avoir accès à des données personnelles, la mise à jour des contrats existants pour assurer la conformité au RGPD, et l’établissement de procédures claires pour le transfert et le stockage des données. En se référant à la liste de contrôle, les organisations peuvent facilement s’assurer qu’elles prennent les mesures nécessaires pour rester en conformité avec le RGPD et démontrer leur engagement envers les meilleures pratiques de protection des données. Voici une liste de contrôle exemple que les organisations peuvent utiliser lors de la construction d’un programme de conformité au RGPD :
- Désigner un responsable de la protection des données : Nommer un responsable de la protection des données (RPD) pour comprendre et évaluer les exigences du RGPD et s’assurer que votre organisation respecte les réglementations. Le RPD est responsable de veiller à ce que les données soient collectées, utilisées et stockées de manière sécurisée et légale.
- Créer une équipe pour se concentrer sur le RGPD : Créer une équipe responsable de l’évaluation, de la préparation et de la mise en œuvre des exigences nécessaires du RGPD.
- Effectuer un audit de données : Réalisez un audit de données pour identifier quelles données personnelles sont détenues, comment elles sont traitées et combien de temps elles sont conservées.
- Mettez à jour votre politique de confidentialité : Assurez-vous que la politique de confidentialité de votre organisation décrit clairement comment les données personnelles sont utilisées, stockées et consultées.
- Créez un plan de notification de violation de données : Élaborez un plan pour informer les parties prenantes en cas de violation de données.
- Adoptez des mesures de sécurité pour protéger les données : Mettez en œuvre des mesures pour protéger les données contre l’accès non autorisé, telles que le chiffrement, les mesures d’authentification et les droits d’accès.
- Formez vos employés : Assurez-vous que votre équipe est correctement formée sur le RGPD et comprend leurs responsabilités lorsqu’ils traitent des données personnelles.
- Éduquez vos clients : Assurez-vous que les clients sont informés de leurs droits et savent comment ils peuvent accéder, supprimer ou restreindre l’utilisation de leurs données.
- Surveillez la conformité : Élaborez un processus pour surveiller votre conformité avec le RGPD et révisez-le régulièrement pour garantir une adhésion continue.
- Revue régulièrement : Revisez vos processus GDPR pour assurer une conformité continue.
Exemple : Dans une petite entreprise, le directeur des opérations est responsable du responsable de la protection des données.
Exemple : Dans la même petite entreprise, l’équipe composée de personnel informatique et de conseillers juridiques est chargée de travailler ensemble pour évaluer, préparer et mettre en œuvre les exigences requises par le RGPD.
Exemple : L’équipe de la petite entreprise crée un tableau pour cartographier tous les types de données personnelles qu’ils stockent, les objectifs pour lesquels ils les détiennent, comment elles sont traitées et combien de temps ils les conservent.
Exemple : La petite entreprise met à jour sa politique de confidentialité pour inclure un langage spécifique sur les données qu’ils collectent, comment ils les utilisent, combien de temps ils les conservent et qui peut accéder aux données.
Exemple : La petite entreprise crée un plan pour informer les clients, les employés et les autres parties prenantes d’une éventuelle violation de données si elle se produit.
Exemple : La petite entreprise met en œuvre un processus d’authentification à deux facteurs pour accéder à la base de données des clients et un processus de chiffrement pour stocker les données.
Exemple : Les équipes IT et juridiques de la petite entreprise organisent une session de formation pour passer en revue les exigences du RGPD et expliquer comment elles s’appliquent à l’entreprise et à ses processus de collecte et de stockage de données.
Exemple : La petite entreprise crée une page web décrivant les exigences du RGPD et comment les clients peuvent accéder, supprimer ou restreindre l’utilisation de leurs données.
Exemple : La petite entreprise crée un système pour revoir régulièrement ses processus de protection des données et évaluer s’ils sont toujours conformes au RGPD.
Exemple : La petite entreprise organise régulièrement des réunions avec les équipes informatiques et juridiques pour passer en revue les exigences du GDPR, évaluer la conformité et apporter les mises à jour nécessaires pour assurer une conformité continue.
Pour en savoir plus sur le GDPR, planifiez une démonstration personnalisée de Kiteworks aujourd’hui.
Ressources supplémentaires
- Article de blog Quels sont les outils de transfert de fichiers ?
- Article de blog Partage sécurisé de fichiers
- Article de blog Trouver une nouvelle solution de partage de fichiers d’entreprise
- Article de blog Qu’est-ce que la définition de la souveraineté des données ?
- Glossaire Qu’est-ce que le protocole SFTP ?