Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Règlement européen En vigueur

RGPD Réglementation

Le cadre européen de référence pour la protection des données, imposant des mesures de chiffrement et de sécurité au titre de l'article 32, où la PKI garantit la protection des données en transit et leur intégrité.

En bref

Statut
En vigueur
Type
Règlement européen
Portée
Protection des données et vie privée

Vue d'ensemble

Le Règlement général sur la protection des données (RGPD) est la loi européenne de référence en matière de protection des données personnelles et de vie privée. L'article 32 impose aux responsables de traitement et aux sous-traitants de mettre en œuvre des « mesures techniques et organisationnelles appropriées » pour garantir un niveau de sécurité adapté au risque — en citant explicitement le chiffrement comme mesure clé.

La PKI sous-tend plusieurs mécanismes essentiels de conformité au RGPD : les certificats TLS protègent les données personnelles en transit, les certificats S/MIME sécurisent les communications par e-mail contenant des données à caractère personnel, et l'authentification par certificat empêche les accès non autorisés aux systèmes de traitement. Ensemble, ces mesures constituent l'épine dorsale d'une stratégie technique solide de protection des données.

Au-delà de l'article 32, les exigences du RGPD croisent également la PKI via l'article 25 (protection des données dès la conception et par défaut) et l'article 5(1)(f) (principe d'intégrité et de confidentialité), qui appellent tous deux à des contrôles cryptographiques intégrés et à des pratiques robustes de gestion des clés.

Exigences clés

Chiffrement des données personnelles (Art. 32)

Les responsables de traitement et sous-traitants doivent mettre en œuvre des mesures techniques appropriées, incluant le chiffrement des données personnelles, pour garantir un niveau de sécurité adapté au risque.

Protection des données en transit

Les données personnelles doivent être protégées pendant leur transmission à l'aide de certificats TLS/SSL, garantissant confidentialité et intégrité sur tous les canaux de communication.

Authentification par certificat

L'accès aux systèmes traitant des données personnelles doit s'appuyer sur des mécanismes d'authentification forts, incluant les certificats client et le mTLS, pour empêcher les accès non autorisés.

Vérification de l'intégrité

Les organisations doivent garantir l'intégrité des données personnelles grâce aux signatures numériques et à la vérification par certificat, afin de détecter toute modification non autorisée.

Protection des données dès la conception (Art. 25)

Les mesures techniques telles que le chiffrement par PKI et la gestion des certificats doivent être intégrées dès les premières étapes de la conception des systèmes, et non ajoutées a posteriori.

Pseudonymisation et gestion des clés

Le RGPD encourage la pseudonymisation comme mesure de réduction du risque, ce qui exige une gestion robuste des clés cryptographiques pour protéger la correspondance entre pseudonymes et identités.

Grandes étapes

12
2012

Proposition du règlement

La Commission européenne propose une réforme complète de la directive de 1995 sur la protection des données pour répondre aux enjeux de l'ère numérique.

16
2016

Adoption du RGPD

Le Parlement européen et le Conseil adoptent officiellement le règlement (UE) 2016/679, avec une période de transition de deux ans avant son application.

18
2018

Entrée en application

Le RGPD devient pleinement applicable le 25 mai 2018, les autorités de contrôle pouvant prononcer des amendes pouvant atteindre 4 % du chiffre d'affaires annuel mondial.

21
2021 En vigueur

Impact de Schrems II

L'arrêt Schrems II de la CJUE accentue l'attention portée au chiffrement et aux garanties techniques pour les transferts internationaux de données, renforçant les exigences de l'article 32.

24
2024 Application

Application continue, amendes records

Les autorités de contrôle prononcent des amendes records, l'application se concentrant de plus en plus sur les mesures techniques de sécurité, y compris les standards de chiffrement.

Impact sur la PKI et les certificats

Les exigences de chiffrement et de sécurité du RGPD ont un impact direct et significatif sur la gestion de l'infrastructure PKI. Voici les domaines clés :
1

TLS partout pour les flux de données personnelles

Tout système transmettant des données personnelles doit être protégé par TLS, ce qui implique une couverture complète des certificats et une gestion proactive des renouvellements sur l'ensemble des points d'accès.

2

S/MIME pour les e-mails contenant des données à caractère personnel

Les e-mails contenant des données personnelles doivent être chiffrés et signés à l'aide de certificats S/MIME, garantissant confidentialité et non-répudiation pour les communications sensibles.

3

mTLS pour les échanges responsable-sous-traitant

Les échanges de données entre responsables de traitement et sous-traitants nécessitent une authentification mutuelle forte via des certificats client, garantissant que seules les parties autorisées accèdent aux données personnelles.

4

Gestion des clés pour le chiffrement au repos

La pseudonymisation et le chiffrement au repos exigent une gestion robuste du cycle de vie des clés cryptographiques, incluant leur génération, stockage, rotation et destruction sécurisés.

Comment nous aidons

Evertrust & RGPD

Inventaire des certificats pour la couverture de chiffrementDécouvrez et cartographiez l'ensemble des certificats déployés dans votre infrastructure afin de garantir que chaque système traitant des données personnelles est correctement chiffré et recensé.

Renouvellement TLS automatiséÉliminez les risques d'expiration de certificats grâce à une gestion automatisée du cycle de vie, garantissant la protection continue des données en transit sans intervention manuelle.

Application des politiques pour des standards minimauxImposez les politiques de l'organisation sur les longueurs de clé, les algorithmes et les durées de validité des certificats, pour répondre aux exigences de sécurité de l'article 32.

Pistes d'audit attestant la responsabilité auprès de l'autorité de contrôleGénérez des journaux d'audit complets démontrant votre posture de chiffrement et vos pratiques de gestion des certificats auprès des autorités de contrôle.

Parler à un expert Découvrir Horizon
Retour au centre de conformité Bénéficiez de conseils d’experts