Veeam 10 : annonce des nouveautés

Veeam 9.5 est la version actuelle des produits Veeam Backup&Replication et Veeam One. La version 10 est annoncée avec les nouveautés suivantes:

  • Administration intégrée de Veeam Agent pour Linux et Veeam Agent pour Microsoft Windows
  • Prise en charge de la sauvegarde NAS pour les partages SMB et NFS
  • Scale-Out Backup Repository — Archive tier
  • Veeam CDP (protection des données en continu)
  • Améliorations supplémentaires de l’évolutivité d’entreprise
  • Intégrations aux stockages principaux — API universelle d’intégration aux stockages
  • Améliorations du DRaaS (pour les prestataires de services)

Plus d’informations sur la site de Veeam : https://go.veeam.com/v10-fr

Partager sur

Référentiel Général sur la Protection des Données (RGPD)

Vocabulaire

Les deux acronymes suivants sont souvent cités. Il s’agit des versions françaises et anglaises du texte

  • Réglement Général sur la Protection des Données : RGPD
  • General Data Protection Regulation : GDPR

Contexte

  • Texte européen voté le 14 avril 2016
  • Entrée en vigueur le 24 mai 2016
  • Applicable le 25 mai 2018
  • Objectif principal :

Redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises

D’un point de vue personnelle, la simplification indiquée est sujette à forte discussion. En effet, la suite de l’article indique ce qui est attendue par les entreprises ou entités publiques et la mise en place est loin d’être simple.

Les principales dispositions

  • Cadre harmonisé dans tous les États membres de l’Union Européenne
  • Application extra-territorial
  • Droit à l’effacement (c’est à dire le droit à l’oubli)
  • Droit à la portabilité des données personnelles
  • Profilage : refus qu’une décision soit prise exclusivement sur la base d’un traitement automatisé. Ce point est relativement important, il indique d’une décision doit obligatoirement faire intervenir un humain.
  • Privacy by design : ce règlement sur la protection des données doit être appliqué dès la conception
  • Notification en cas de fuite de données
  • Nomination obligatoire d’un délégué à la protection des données
  • Sanctions : jusqu’à 20M€ ou 4% du chiffre d’affaires
  • Création d’un Comité européen de la protection des données
  • Plus de déclaration préalable de la CNIL
  • En contre-partie, l’entreprise est responsable et doit mettre en place un formalisme important pour les traitements de données personnelles

Les étapes de la mise en place

La description de ces 6 étapes est inspiré du document edité par la CNIL.

Étape 1 : Désigner un délégué à la protection des données

  • Obligatoire pour un organisme public
  • Rôle de “chef d’orchestre” de la conformité
  • Doit agir de manière indépendante
  • Doit disposer d’une expertise en matière de législations
  • Ne doit pas donner lieu à un conflit d’intérêts, ne peut être nommé : secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique ou toute personne dont les fonctions ou rôles supposent la détermination des finalités et des moyens du traitement.
  • Doit être nommé avant le 25 mai 2018

Étape 2 : Cartographier les traitements de données personnelles

Création du Registre des traitements de données personnelles

  • Il est obligatoire
  • Il recense tous les traitements ainsi que
    • Les catégories de données traitées
    • Les objectifs du traitement
    • Les acteurs qui traitent les données (y compris les sous-traitants)
    • Les flux (origine, destination)
  • En résumé : Qui? Quoi? Pourquoi? Où? Jusqu’à quand? Comment?

Étape 3 : Prioriser les actions sur la base du registre

  • Identifier les actions à mener pour se conformer aux obligations actuelles
  • S’assurer que seules les données strictement nécessaires à la poursuite des objectifs sont collectées et traitées. Cela demande de faire un état des lieux de tous les processus en vigueur au sein de l’entreprise dès qu’une donnée personnelle est demandée et conservée
  • Identifier la base juridique sur laquelle se fonde le traitement
  • Réviser les mentions d’information et informer les personnes dont les données seront traitées
  • Vérifiez que les sous-traitants connaissent les nouvelles obligations et leurs responsabilités
  • Prévoir les modalités d’exercices des droits des personnes (accès, rectification, portabilité, consentement)
  • Vérifier les mesures de sécurité

Étape 4 : Gérer les risques

  • Pour chaque traitement, effectuer une étude d’impact sur la protection des données.
  • Quand mener l’étude d’impact ?
    • Avant de collecter les données
  • Que contient l’étude d’impact?
    • Description détaillée du traitement
    • Évaluation de la nécessité et de la proportionnalité du traitement
    • Appréciation des risques sur les droits et libertés des personnes concernées
    • Mesures envisagées pour
      • Traiter ces risques
      • Et se conformer au règlement

Étape 5 : Organiser les processus internes

  • Mettre en place des procédures pour garantir la protection des données en prenant en compte les événements qui peuvent survenir durant la vie d’un traitement
    • Faille de sécurité
    • Gestion des demandes de rectification, modification, accès
    • Modification des données collectées
    • Changement de prestataire
  •  Sensibiliser et organiser la remontée d’information, construire un plan de formation et de communication auprès des collaborateurs
  • Prévoir et anticiper les violations de données et les déclarer auprès des autorités sous 72h.

Étape 6 : Documenter la conformité

  • Permet de prouver la conformité au règlement
  • Documentation sur les traitements
    • Registre des traitements de données personnelles
    • Analyses d’impact
    • L’encadrement des transferts hors UE
  • L’information des personnes
    • Mentions d’information
    • Modèles de recueil du consentement
    • Procédures mises en place pour l’exercice des droits des personnes
  • Les contrats qui définissent les rôles et les acteurs
    • Contrats avec sous-traitants
    • Procédures internes en cas de violations de données
    • Les preuves que les personnes ont donné leur consentement

Conclusion

Elle est personnelle et n’engage que moi.

Si les mesures de ce règlement ont été pensées avec de bonnes intentions pour les citoyens européens, il faut malheureusement noter que la simplification voulue par le législateur n’est pas au rendez-vous. Ce règlement engendre une bureaucratie accrue au sein des administrations et entreprises, là où le temps est précieux et où celui-ci pourrait être utilisé à rendre un meilleur service (pour les entités publiques) ou faire preuve d’innovation (pour les entreprises) dans un contexte de concurrence accrue à l’échelle mondiale.

Partager sur