Conformite reglementaire¶
Cartographie reglementaire¶
| Reglementation | Perimetre | Exigences cles | Classification concernee |
|---|---|---|---|
| RGPD | Données personnelles (UE) | Consentement, droit a l'oubli, notification de breach (72h) | Confidentiel → Restreint |
| ISO 27001 | SMSI global | Classification, contrôle d'accès, audit, amelioration continue | Tous niveaux |
| HDS | Données de sante (France) | Hebergement certifie, traçabilité, chiffrement | Restreint |
| SOC 2 | Services SaaS/Cloud | Sécurité, disponibilité, confidentialite, intégrité | Confidentiel → Restreint |
RGPD — Mesures par niveau¶
Données personnelles standard (Confidentiel)¶
| Exigence RGPD | Implementation technique |
|---|---|
| Registre des traitements | Documenter dans la matrice services (chapitre 03) |
| Limitation de la finalite | RBAC — accès uniquement pour le traitement declare |
| Minimisation | Ne collecter que les champs nécessaires |
| Droit d'accès/rectification | API d'export et de modification dans chaque service |
| Droit a l'effacement | Procedure de purge documentee par service |
| Notification de breach | Alerte SIEM → procedure d'escalade → notification CNIL sous 72h |
Données personnelles sensibles (Restreint)¶
Mesures supplémentaires :
- Chiffrement bout en bout (pas seulement at-rest + in-transit)
- Accès nominatif avec approbation explicite
- Journalisation immutable avec retention 5 ans
- Analyse d'impact (DPIA) obligatoire avant mise en production
- Designation d'un DPO si ce n'est pas déjà fait
ISO 27001 — Correspondance avec les contrôles¶
| Contrôle ISO 27001 | Chapitre de ce guide |
|---|---|
| A.5.12 Classification de l'information | 01 - Modèle de classification |
| A.5.13 Marquage de l'information | 01 - Modèle de classification |
| A.8.3 Restriction d'accès | 04 - Isolation et flux |
| A.8.24 Chiffrement | 05 - Secrets et chiffrement |
| A.8.15 Journalisation | 06 - Audit et traçabilité |
| A.8.16 Surveillance | 06 - Audit et traçabilité |
HDS — Exigences spécifiques¶
L'hebergement de données de sante en France requiert :
- Certification HDS du ou des hebergeurs utilises
- Localisation : données stockees en France ou UE
- Chiffrement : AES-256 at-rest, TLS 1.3 in-transit, cles gérées par le client
- Traçabilité : journalisation de tous les accès avec retention 5 ans minimum
- PCA/PRA : plan de continuite et de reprise teste annuellement
- Audit : audit de conformite annuel par un tiers
Checklist de conformite par service¶
Avant de mettre un service en production, vérifier :
- Classification des données documentee (ADR)
- Zone de déploiement conforme a la matrice (chapitre 03)
- Flux documentes et ouverts uniquement au nécessaire (chapitre 04)
- Secrets geres par Vault, rotation configuree (chapitre 05)
- Journalisation active, alertes configurees (chapitre 06)
- DPIA realisee si données personnelles sensibles
- Revue de sécurité par l'équipe sécurité
- Date de prochaine revue planifiee