Mimecast Logo
Obtenir un devis
    Aperçus sur la Cyber Resilience
    Tous les thèmes
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Data Compliance & Governance

    Slack et le GDPR : Le guide complet

    Tout ce que vous devez savoir pour assurer la conformité avec les réglementations GDPR pour Slack.

    by Emily Schwenke

    Key Points

    • Ce blog a été publié à l'origine sur le site web d'Aware, mais avec l'acquisition d'Aware par Mimecast, nous veillons à ce qu'il soit également disponible pour les visiteurs du site web de Mimecast.
    • Bien qu'il existe quelques exceptions pour les organisations comptant moins de 250 employés, la plupart des organisations qui communiquent avec des clients dans l'UE sont soumises aux réglementations du GDPR.
    • Même pour les grandes organisations, la récupération des données nécessaires pour se conformer au GDPR peut s'avérer laborieuse et coûteuse, bien que des outils automatisés comme Aware puissent aider.

    La confidentialité des données est primordiale. Les entreprises d'aujourd'hui sont soumises à une pression constante pour s'assurer que leurs outils de communication et de collaboration sont conformes aux diverses réglementations en matière de sécurité des données. L'un de ces règlements cruciaux est le règlement général sur la protection des données (RGPD). Dans ce guide complet, nous allons plonger dans les subtilités de Slack et de la conformité au GDPR, répondre à la question de savoir si Slack est conforme au GDPR, et explorer comment vous pouvez soutenir la conformité réglementaire dans Slack.

    Slack est-il conforme au GDPR ?

    Oui, Slack prend en charge la conformité au GDPR. Slack a pris des mesures importantes pour s'aligner sur les exigences du GDPR en matière de confidentialité et de sécurité des données, ce qui permet aux organisations couvertes par le GDPR d'utiliser Slack tout en respectant leurs obligations de traiter les données personnelles de manière conforme.

    Qu'est-ce que le GDPR ?

    Le règlement général sur la protection des données est un règlement complet sur la confidentialité des données adopté par l'Union européenne (UE) pour permettre aux individus de mieux contrôler leurs données personnelles. Le GDPR a été établi pour répondre aux préoccupations croissantes concernant les violations de données et l'utilisation abusive des données personnelles, en donnant aux individus le droit de connaître, d'accéder et de supprimer leurs données. Elle fixe également des règles strictes pour les organisations qui traitent des données à caractère personnel et prévoit des sanctions sévères en cas de non-respect de ces règles.

    Certaines des plus grandes entreprises du monde sont tombées sous le coup du GDPR et ont été sanctionnées pour ne pas avoir sécurisé les données des utilisateurs. Il s'agit notamment de

    • Meta s'est vu infliger une amende de 1,3 milliard de dollars en 2023 pour avoir transféré des données d'utilisateurs de l'UE vers les États-Unis.
    • Amazon a été condamné à une amende de 781 millions de dollars pour avoir suivi les données des utilisateurs sans leur consentement.
    • WhatsApp a été condamné à une amende de 193 millions de dollars pour n'avoir pas informé clairement les utilisateurs du traitement de leurs données.
    • Google a été condamné à une amende globale de 165 millions de dollars pour ne pas avoir donné aux utilisateurs un moyen facile de refuser les cookies.

    À qui s'applique le GDPR ?

    Le GDPR est une loi européenne qui protège les données des personnes résidant dans l'Union européenne. Toutefois, elle peut être appliquée à des entreprises ayant leur siège ailleurs dans le monde si elles collectent et gèrent ces données à caractère personnel ou les traitent pour le compte d'autrui. Toute entreprise qui offre des biens et des services au sein de l'UE, ou qui surveille le comportement des personnes dans cette zone, doit se conformer au GDPR.

    Cela vaut même pour les petites entreprises, car le GDPR s'applique quelle que soit la taille de l'entreprise. Toutefois, les entreprises de moins de 250 employés sont exemptées de certaines obligations, comme celle de désigner un délégué à la protection des données. Le GDPR ne s'applique pas aux personnes exerçant une activité "personnelle ou domestique", telle que la création d'un bulletin d'information électronique pour les amis et la famille. Toutefois, le GDPR s'applique aux personnes exerçant des activités plus professionnelles, même dans le cadre d'un hobby, par exemple la gestion d'un bulletin d'information électronique pour les fans d'une émission de télévision populaire.

    Contrôleurs et sous-traitants GDPR

    Dans le contexte du GDPR, les responsables du traitement des données déterminent les finalités et les moyens du traitement des données, tandis que les sous-traitants agissent pour le compte des responsables du traitement. Slack, par exemple, agit en tant que responsable du traitement des données lorsque votre organisation utilise sa plateforme. Certaines entreprises peuvent contrôler leurs propres données à tout moment et ne jamais faire appel à un sous-traitant, par exemple si votre entreprise construit et héberge son propre outil de communication interne. Un sous-traitant traite toujours des données pour le compte d'une autre organisation.

    Les responsables du traitement et les sous-traitants ont les mêmes obligations en vertu du GDPR en ce qui concerne le traitement des données, mais les sous-traitants, par définition, ont également des obligations envers les responsables du traitement. Il est donc essentiel d'établir des responsabilités et des accords clairs entre les responsables du traitement et les sous-traitants afin de garantir la conformité. Souvent, ces responsabilités sont définies dans un accord sur le traitement des données. Slack propose un addendum au traitement des données (DPA) en complément de ses ToS clients. Pour être valable, la DPA doit être signée par une personne autorisée à signer au nom de l'organisation responsable du traitement.

    Le GDPR s'applique-t-il aux outils de collaboration comme Slack ?

    Vous ne pensez peut-être pas que les outils de collaboration sont des réceptacles de données personnelles, mais notre étude montre que de nombreuses plateformes de communication sur le lieu de travail sont remplies d'informations sensibles et confidentielles. En moyenne, un tiers des messages contiennent des IPI, et un message sur 17 contient au moins trois informations sensibles. Cette prolifération des risques fait qu'il est essentiel de considérer des outils comme Slack lorsqu'il s'agit de remplir les obligations du GDPR.

    Outre les risques liés aux IPI que Slack contient, la possibilité d'exercer le droit à l'oubli d'un client ou d'un employé s'applique également aux données de Slack. Les entreprises doivent réfléchir de manière proactive à la manière dont elles pourraient identifier, isoler et purger les données Slack d'un single dépositaire dans les délais prévus par le GDPR.

    Les employés sont-ils couverts par le GDPR ?

    Le GDPR couvre toutes les données, y compris celles des clients et des employés. Les données relatives aux employés sont soumises aux mêmes normes de protection des données que les données relatives aux clients. Cela signifie que les organisations doivent s'assurer qu'elles traitent les données de leurs employés de manière légale et transparente. À tout moment, un employé peut déposer une demande d'accès aux données en vertu de l'article 15 et a les mêmes droits que tout client de consulter toutes les données que l'entreprise détient sur lui dans le délai d'un mois prévu à l'article 12.

    Exemples de risques GDPR dans Slack

    Le GDPR donne aux individus le droit d'accéder, d'examiner, de corriger et de supprimer les données détenues à leur sujet par les responsables du traitement ou les sous-traitants. Les entreprises sont tenues de se conformer aux demandes du GDPR dans des délais précis, ce qui peut s'avérer problématique pour les grandes organisations qui détiennent des données massives et non structurées.

    L'utilisateur moyen de Slack en entreprise envoie 28 messages par jour, et plus de 90% d'entre eux sont envoyés dans des canaux privés et des DM où même les administrateurs peuvent avoir du mal à conserver une visibilité totale. On ne saurait trop insister sur la difficulté d'extraire ces données en temps voulu, ce qui expose l'organisation au risque d'une action réglementaire.

    • Droit d'accès (demande d'accès de la personne concernée) : Une personne peut demander une copie des données personnelles qu'une organisation détient à son sujet en déposant une demande connue sous le nom de DSAR. Cela comprend des informations sur la manière dont les données sont traitées, les objectifs du traitement et les personnes avec lesquelles elles sont partagées. Délai de mise en conformité : 1 mois.
    • Droit de rectification : Si une personne estime que les données à caractère personnel détenues par une organisation sont inexactes ou incomplètes, elle peut demander au responsable du traitement de rectifier ou de corriger les données. Délai de mise en conformité : 1 mois.
    • Droit à l'effacement (droit à l'oubli) : Les personnes ont le droit de demander l'effacement de leurs données à caractère personnel s'il n'existe pas de motifs légitimes pour que le responsable du traitement des données continue à les traiter. Ce droit n'est pas absolu et peut faire l'objet de certaines exceptions. Délai de mise en conformité : 1 mois.
    • Droit à la portabilité des données : Les personnes peuvent demander que leurs données à caractère personnel soient présentées dans un format structuré, couramment utilisé et lisible par machine. Ils peuvent également demander que les données soient transmises directement à un autre responsable du traitement lorsque cela est techniquement possible. Ce droit permet aux personnes de transférer facilement leurs données entre différents fournisseurs de services. Délai de mise en conformité : 1 mois.

    Cinq étapes pour rendre Slack conforme au GDPR

    Slack soutient la conformité au GDPR dans son rôle de processeur de données, mais la conformité totale est une responsabilité partagée entre Slack et ses utilisateurs (les contrôleurs des données que Slack contient). Slack fournit des fonctionnalités et des caractéristiques qui aident les utilisateurs à répondre aux exigences du GDPR, telles que les capacités d'exportation et de suppression des données. Cependant, les organisations doivent également mettre en œuvre leurs politiques et procédures pour garantir la conformité au GDPR au sein de leur espace de travail Slack.

    Pour rendre Slack conforme au GDPR, les organisations et les responsables de la conformité doivent suivre ces cinq étapes :

    1. Examinez l'utilisation des données : Comprenez quelles données les employés partagent sur Slack et assurez-vous qu'elles s'alignent sur les principes du GDPR.
    2. Définissez des politiques de conservation des données : Définissez la durée de conservation des données sur Slack et examinez et supprimez régulièrement les données dont vous n'avez plus besoin. Envisagez d'utiliser une solution DLP comme Aware de Mimecast pour automatiser la rétention et la purge des données de Slack.
    3. Sensibilisez les utilisateurs : Formez votre équipe aux réglementations GDPR et aux meilleures pratiques pour utiliser Slack en toute conformité. Tous les utilisateurs de Slack doivent être conscients que leurs communications peuvent être révélées par des demandes d'accès à l'information et veiller à rester professionnels malgré le style de communication informel de Slack.
    4. Utilisez les fonctions de conformité de Slack : Profitez des outils de gestion intégrés de Slack pour l'exportation de données et la suppression de profils. Ces outils permettent de rechercher des données Slack et de supprimer les messages créés par un single utilisateur (dépositaire) en conformité avec le GDPR. Sachez toutefois que cet outil supprimera tous les contenus générés par les utilisateurs et qu'il peut inclure des données dont l'entreprise peut considérer qu'elle est propriétaire et qu'elle souhaite conserver. L'outil de rétention granulaire de Mimecast Aware permet aux utilisateurs d'examiner le contenu généré par le gardien et de lui attribuer une valeur avant de le supprimer, préservant ainsi les données critiques.
    5. Accélérez la conformité GDPR avec Mimecast Aware : Mimecast Aware prend en charge la conformité GDPR pour Slack en utilisant l'IA de traitement du langage naturel à la pointe de l'industrie pour appliquer les politiques d'utilisation acceptable dans Slack, détecter et supprimer les informations non autorisées (y compris les PII, PHI et les données sensibles de l'entreprise) à l'aide de flux de travail automatisés intelligents, et met en œuvre des politiques de rétention granulaires et bidirectionnelles pour purger ou préserver automatiquement les données précieuses. Mimecast Aware est également un fournisseur de confiance de GovSlack en matière de sécurité et de conformité.

    Autres considérations relatives à la conformité de Slack

    En plus du GDPR, les organisations dans des secteurs hautement réglementés tels que la santé (HIPAA) ou la finance (FINRA) doivent adhérer à des exigences de conformité spécifiques lorsqu'elles utilisent Slack. Et toutes les organisations, quel que soit leur secteur d'activité, ont la responsabilité de protéger les informations personnelles identifiables (PII) et les données de l'industrie des cartes de paiement (PCI) au sein de Slack et de se conformer à la norme ISO 27001 et/ou SOC 2 en tant que meilleure pratique. Notre étude montre que lorsque les entreprises déploient des plateformes de collaboration telles que Slack, les employés les utilisent comme référentiels pour toutes les données liées à l'entreprise, à moins qu'on ne leur propose de meilleures alternatives.

    Comment Mimecast Aware soutient le GDPR et la conformité dans Slack

    Aware soutient la gestion des données conforme au GDPR avec des solutions conçues pour répondre aux obligations de l'organisation en vertu du GDPR :

    • Article 5 - Principes relatifs à la manière dont les organisations traitent les données à caractère personnel
    • Article 12 - Communication transparente des droits des personnes concernées
    • Article 15 - Droit d'accès
    • Article 17 - Droit à l'effacement

    Mimecast Aware se connecte à Slack via une API pour ingérer de manière transparente un enregistrement complet de tous les messages dans les canaux Slack en temps réel, sans intervention informatique ni impact sur les utilisateurs finaux. Les messages Slack sont ensuite analysés à l'aide des workflows de traitement du langage naturel (NLP) et d'IA/ML exclusifs et leaders du secteur d'Aware pour détecter et atténuer automatiquement le partage d'informations non autorisées dans Slack, y compris les PII, PHI, PCI et autres données sensibles. Grâce à Aware, les équipes chargées de la conformité peuvent limiter les risques sur tous les outils de collaboration à partir d'une plateforme single et centralisée qui rationalise les flux de travail, automatise les notifications et prend en charge sans effort le coaching des employés et l'application des politiques.

    En plus des fonctionnalités de conformité, la plateforme de données Aware offre une suite de fonctionnalités d'eDiscovery, de DLP et de sentiment insights qui soutiennent la gestion holistique des communications des employés à travers l'entreprise, en alimentant chaque aspect du flux de travail de l'expérience moderne.

    Faites confiance à Mimecast pour identifier, traiter et appliquer la conformité pour Slack et plus encore aujourd'hui. En savoir plus.

    Inline_43.jpg
    Up Next
    Data Compliance & Governance |
    Comment exporter des conversations Slack : Un guide complet

    Related Articles

    Data Compliance & Governance
    Avez-vous un problème de risque de données dans Slack ?
    Data Compliance & Governance
    Le guide complet de l'eDiscovery dans Slack
    Data Compliance & Governance
    Qu'est-ce que l'informatique fantôme ? Exemples, risques et solutions

    Abonnez-vous à Cyber Resilience Insights pour plus d'articles comme ceux-ci

    Recevez toutes les dernières nouvelles et analyses de l'industrie de la cybersécurité directement dans votre boîte de réception.

    Inscription réussie

    Merci de vous être inscrit pour recevoir les mises à jour de notre blog.

    Nous vous contacterons !

    Haut de la page