25 Mai 2018, une date qui fait écho dès que l’on évoque la protection des données à caractère personnel dans le cadre du RGPD … Il y a urgence à connaître précisément son niveau de préparation et à procéder à un bilan approfondi de son existant
RGPD : les fausses idées à combattre
RGPD : Mise en garde
Les amendes peuvent atteindre 20 millions d’euros ou 4% du CA annuel mondial.
RGPD, tordre le cou aux idées reçues
Il est plus que temps de combattre quelques idées reçues, retenons d’ores et déjà :
– La norme ISO27001 garantit la conformité au RGPD : si l’implémentation de contrôles liés à cette certification pose les bases, elle ne répond pas à toutes les exigences
– C’est le même processus que la préparation aux normes PCI DSS : il faut élargir les contrôles pour intégrer les informations à caractère personnel.
– Le RGPD est géré par l’équipe IT : non. Au contraire, c’est l’affaire de tous.
Toutes les fonctions métiers (RH, juridique, …) doivent être impliquées avec le sponsor de la direction. Il n’y a pas que les services informatiques et les équipes de sécurité informatique qui doivent s’engager !
– L’externalisation des opérations de traitement de données règle tout .
Non, le sous-traitant doit protéger les données personnelles mais le détenteur des données doit veiller à l’implémentation des « mesures techniques et organisationnelles » de protection des informations.
L’objectif de conformité
Le RGPD doit être traduit dans un langage clair et précis.
Les actions prévues sont une première étape mais il convient de les détailler et les classer par priorité.
Voici une liste non exhaustive d’actions qu’il ne faut surtout pas suivre !
– Défaut d’analyse des écarts : au contraire, il faut se lancer dans l’identification des lacunes
– Ne pas cartographier les données personnelles : surtout pas.
L’heure est à l’identification des flux d’informations à caractère personnel dans les processus IT et métiers
– Omettre d’examiner les procédures de gestion d’incident.
Il faut procéder à la révision des processus d’identification et confirmation des violations de sécurité.
– Eviter de contrôler l’intégrité de la sécurité et ne pas procéder au bilan de maturité : à l’opposé.
Il faut un examen de conformité aux normes applicables et bonnes pratiques.
– s’affranchir d’évaluer les sous-traitants : non.
Il est vital d’évaluer les contrôles de sécurité mis en place par des entreprises externes chargées du traitement des données personnelles..
– Ne pas analyser l’impact relatif à la protection des données (DPIA) : il faut surtout veiller à l’implémentation d’un processus DPIA ou analyses DPIA sous forme de service.
Le RGPD vu par NTT Security
Téléchargez cette ressource
Guide de Threat Intelligence contextuelle
Ce guide facilitera l’adoption d’une Threat Intelligence - renseignement sur les cybermenaces, cyberintelligence - adaptée au "contexte", il fournit des indicateurs de performance clés (KPI) pour progresser d' une posture défensive vers une approche centrée sur l’anticipation stratégique
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Tendances 2026 : l’IA devra prouver sa rentabilité
- L’identité numérique : clé de voûte de la résilience et de la performance en 2026
- CES 2026 : l’IA physique et la robotique redéfinissent le futur
- Les 6 tournants qui redéfinissent l’IA en entreprise
Articles les + lus
CESIN : un baromètre qui mesure le risque cyber réel
Analyse Patch Tuesday Janvier 2026
Dans l’œil du cyber-cyclone : l’excès d’optimisme constitue le risque principal pour la résilience des données
L’identité au cœur de la cybersécurité
Sécurité des équipes : les organisations à la peine
À la une de la chaîne Sécurité
- CESIN : un baromètre qui mesure le risque cyber réel
- Analyse Patch Tuesday Janvier 2026
- Dans l’œil du cyber-cyclone : l’excès d’optimisme constitue le risque principal pour la résilience des données
- L’identité au cœur de la cybersécurité
- Sécurité des équipes : les organisations à la peine
