RGPD
Le RGPD rassemble les opportunités légales concernant le traitement des données à caractère personnel. C'est une désignation assez large qui inclut toute information concernant une personne physique identifiée ou identifiable (numéro de téléphone, les adresses e-mail, les adresses IP, les adresses MAC, les cookies, les données RFOD, les cartes de crédit, les données de géolocalisation, etc.).
Si ces informations permettent d’identifier une personne naturelle directement ou une fois combinées à d’autres informations, alors elles sont considérées comme étant à caractère personnel.
Les données à caractère personnel peuvent être légalement traitées dans le cadre du RGPD si le traitement est effectué avec le consentement de la personne concernée.
Sans consentement explicite (traitement de logs par exemple), le RGPD définit à l’Article 6 des motifs légaux pour le traitement des données. Le motif le plus pertinent pour notre produit est celui de « l’intérêt légitime ». Celui-ci prévoit que le traitement peut être effectué aux fins de défendre « l’intérêt légitime » du responsable du traitement, lorsque cela ne contrevient pas à l’intérêt ou aux « droits et libertés fondamentaux » de la personne concernée. La Raison 49 propose des explicatifs aidant à interpréter le motif de « l’intérêt légitime ». Elle précise que le traitement de données à caractère personnel « dans la limite strictement nécessaire et proportionnée » pour « assurer la sécurité du réseau et des informations » constitue un « intérêt légitime » selon le Règlement.
Par conséquent, le consentement de la personne concernée n’est pas nécessaire pour procéder à la gestion des événements de sécurité aux fins d’assurer la sécurité du réseau et des informations, dans la mesure où le traitement reste nécessaire à vos activités et proportionné.
Toutefois, il convient d'estimer la durée pendant laquelle les données de sécurité doivent être maintenues afin qu’ils fournissent les traces d’audit requises lors d'investigations de sécurité. En tenant compte du fait que bien des vulnérabilités, attaques et menaces passent inaperçues pendant de longues périodes, nous recommandons de concerver les données pendant un an.