Comment Brainloop se conforme au RGPD en matière de protection des données à caractère personnel

DSGVO Article Header

Les nombreux paragraphes de l’Article 32 du Règlement général sur la protection des données (RGPD) de l’Union européenne expliquent en détail les mesures techniques et organisationnelles liées à la sécurité du traitement des données. Toutefois, les entreprises ignorent le plus souvent par où commencer lorsqu’elles sont confrontées à des descriptions abstraites de la technologie. Le RGPD ne fournit aucune information sur des procédures de sécurité informatique concrètes, car ces technologies évoluent constamment et deviennent très rapidement obsolètes. C’est précisément la raison pour laquelle de nombreuses entreprises ne parviennent pas à se faire une idée précise de la façon dont elles sont supposées se conformer aux réglementations.
Brainloop est là pour les accompagner. Nos solutions basées sur le Cloud sont toutes conformes aux exigences réglementaires de la loi fédérale allemande sur la protection des données. De nombreuses certifications le confirment, notamment la norme Trusted Cloud Data Protection Profile version 1.0 (catégorie de protection III), (ci-après « TCDP ») récemment publiée.

Chiffrement (Article 32, alinéa 1a du RGPD)

La nouvelle réglementation fait explicitement référence à la pseudonymisation et au chiffrement des données à caractère personnel.
Pour y parvenir, Brainloop propose le chiffrement de bout en bout des fichiers stockés sur tous les terminaux de l’utilisateur, ainsi que sur les serveurs et pendant la transmission des données.

Confidentialité (Article 32, alinéa 1b du RGPD)

Avec l’entrée en application du RGPD, les entreprises devront s’assurer que seules les personnes autorisées ont accès aux données à caractère personnel.
Les utilisateurs de Brainloop n’ont pas à se soucier de cette exigence dans l’utilisation de nos solutions Cloud, le système n’autorisant l’accès aux datarooms qu’aux seules personnes ayant reçu une invitation. L’attribution des autorisations en fonction des rôles apporte un niveau de sécurité supplémentaire au même titre que des catégories de sécurité définies pour mettre en place différents niveaux de protection. De ce fait, même l’administrateur peut se voir interdire l’accès au contenu (protection administrateur).
En complément d’une authentification à double facteur avec envoi d’un code PIN par SMS, Brainloop propose également son application propriétaire « Brainloop Authenticator » qui fournit un mot de passe provisoire à usage unique (OTP).

Intégrité (Article 32, alinéa 1b du RGPD)

Les erreurs de fonctionnement des systèmes informatiques ne doivent pas endommager ou altérer les données à caractère personnel.
Brainloop garantit la sécurité et l’intégrité du système grâce à des processus de développement standardisés qui intègrent des contrôles de qualité réguliers, ainsi que des mécanismes techniques et organisationnels indispensables à la sécurité. De plus, en journalisant des informations telles que l’objet, l’heure et l’auteur de la modification, la vérification rétrospective intégrée de protection contre le vol assure la traçabilité de chacune des activités réalisées depuis toutes les plateformes Brainloop. L’activité au sein du système Brainloop lui-même est soumise au même processus.

Disponibilité (Article 32, alinéa 1b du RGPD)

Les données à caractère personnel doivent être accessibles, fiables et protégées contre la suppression et la perte. Les prestataires de services et les fournisseurs de solutions Cloud doivent également garantir un niveau minimal contractuel de disponibilité en vue de protéger les données à caractère personnel contre la destruction et la perte.
Brainloop y parvient en stockant les données de ses clients dans des centres de données locaux à haute disponibilité équipés de toutes les technologies de sauvegarde et de reprise sur incident nécessaires. Par ailleurs, Brainloop garantit les niveaux de disponibilité exigés grâce à des accords de niveau de service (SLA).

Résilience (Article 32, alinéa 1b du RGPD) 

Le système doit être surveillé de manière permanente. C’est la seule façon de garantir la disponibilité de toutes les fonctions du système. Toute erreur de fonctionnement doit être immédiatement signalée.
Les clients de Brainloop peuvent compter sur le fait que l’équipe opérationnelle, qui est certifiée ISO 27001, utilise un système de surveillance élaboré qui assure la fiabilité du service.

Rétablissement de la disponibilité (Article 32, alinéa 1c du RGPD)

La disponibilité et l’accès aux données à caractère personnel doivent être rétablis sans délai en cas d’incident technique ou matériel.
Brainloop stockant les données dans des centres de données redondants à haute disponibilité, les données peuvent être récupérées très rapidement, même après un incident technique ou matériel.

Évaluation de la sécurité du traitement des données (Article 32, alinéa 1d du RGPD) 

Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement des données à caractère personnel doit être mise en place.
En tant que fournisseur de solutions Cloud, Brainloop a mis à jour ses contrats pour y intégrer les obligations du RGPD en matière de sous-traitance (Article 28 du RGPD) et prévu un système de gestion de la sécurité des informations intégrant toutes les mesures techniques et organisationnelles requises, y compris les certifications ISO 27001/27018 et ISAE 3402 (Type II). Sa certification TCDP confirme par ailleurs que Brainloop remplit toutes les exigences de protection et de sécurité des données. Les clients de Brainloop, en utilisant ses solutions Cloud, peuvent justifier pour la partie des données hébergées de leur conformité réglementaire en matière de sécurité des données.

Protection des données dès la conception et protection des données par défaut (Art. 25 du RGPD)

La protection des données doit être garantie à la fois dès la conception de la technologie et dans les paramètres par défaut.
Depuis ses débuts, Brainloop a toujours placé la sécurité et la protection des données au cœur de ses solutions, ce qui lui permet de garantir leur conformité aux principes de protection des données dès la conception et par défaut. Les équipes de développement de Brainloop utilisent systématiquement les technologies les plus récentes et les mesures techniques qui leur sont associées. Le concept d’autorisation granulaire de Brainloop, auquel s’ajoute la protection administrateur et opérateur, empêche les personnes non autorisées à avoir accès aux données à caractère personnel. Brainloop se conforme d’ores et déjà aux critères de protection des données avec ses certifications Trusted Cloud Data Protection Profile et ISO 27001/27018.

Conclusion

Le RGPD ainsi que les autres lois et réglementations en vigueur imposent désormais aux entreprises, qui traitent des données à caractère personnel dans le cadre de leur activité, d’être encore plus vigilantes. En utilisant les applications Brainloop, elles sont assurées de se conformer à ces exigences en matière de sécurité des données. L’objectif de Brainloop reste, aujourd’hui comme demain, de continuer à proposer les niveaux de sécurité et de conformité réglementaire les plus élevés, ce qui est précisément ce que nos clients attendent de nous.