# Loi sur la protection des renseignements personnels (POPIA) | Se conformer à la loi POPI avec ManageEngine ## Loi POPI en Afrique du Sud ### Qu'est-ce que la Loi sur la protection des renseignements personnels (POPIA)? Le POPIA est un mandat réglementaire visant à protéger les informations personnellement identifiables (PII) des citoyens sud-africains. Il prévoit des conditions pour la collecte et le traitement licites des données personnelles des citoyens par toutes les organisations publiques et privées résidant à la fois en République d'Afrique du Sud et en dehors. ![ ](https://www.manageengine.com/fr/protection-of-personal-information-act-popia/images/popia-top-img.svg) ## Que sont les informations personnelles selon POPIA? La conformité POPIA nécessite la protection des informations personnelles des employés, des vendeurs, des fournisseurs et des partenaires en plus des données clients. Dans POPIA, les informations personnelles comprennent (mais sans s'y limiter) des aspects aussi divers que: - ![Croyances religieuses ou philosophiques](https://www.manageengine.com/fr/protection-of-personal-information-act-popia/images/religious-beliefs.svg) Croyances religieuses ou philosophiques - ![Race, sexe, origine ethnique](https://www.manageengine.com/fr/protection-of-personal-information-act-popia/images/race-gender.svg) Race, sexe, origine ethnique - ![Appartenance syndicale ou persuasion politique](https://www.manageengine.com/fr/protection-of-personal-information-act-popia/images/trade-union.svg) Appartenance syndicale ou persuasion politique - ![Casier judiciaire, financier, éducatif ou criminel](https://www.manageengine.com/fr/protection-of-personal-information-act-popia/images/medical-financial.svg) Casier judiciaire, financier, éducatif ou criminel - ![Informations biométriques](https://www.manageengine.com/fr/protection-of-personal-information-act-popia/images/biometric-information.svg) Informations biométriques - ![Correspondance confidentielle (contenu de l'e-mail)](https://www.manageengine.com/fr/protection-of-personal-information-act-popia/images/confidential-correspondance.svg) Correspondance confidentielle (contenu de l'e-mail) - ![Identifiant en ligne](https://www.manageengine.com/fr/protection-of-personal-information-act-popia/images/online-Identifier.svg) Identifiant en ligne - ![Information des enfants](https://www.manageengine.com/fr/protection-of-personal-information-act-popia/images/information-children.svg) Information des enfants ## Pourquoi mon organisation devrait-elle se conformer à POPIA? ### Augmentation de l’écart d’acquisition Le respect de ces réglementations améliorera la réputation de votre organisation auprès du public. ### Avantage compétitif Le respect de ces directives strictes gagnera la confiance des clients. Ils sauront qu'ils peuvent faire confiance à votre entreprise par rapport aux autres qui ne se conforment pas. ### La cyber-sécurité Les mesures de sécurité prises pour la conformité POPIA constitueront un tremplin pour protéger votre organisation contre les violations de données. ### Évitez les pénalités indésirables Le non-respect de POPIA peut vous coûter, à vous et à votre entreprise, une peine d'emprisonnement pouvant aller jusqu'à 10 ans, une amende pouvant aller jusqu'à 10 millions de rands, ou les deux. ## Conditions POPIA POPIA peut être globalement catégorisé en huit conditions, et y adhérer toutes est un processus en plusieurs étapes. Savoir ce que ces conditions signifient pour votre organisation est essentiel pour atteindre la conformité. 1. Responsabilité 2. Limitation du traitement 3. Spécification de l'objectif 4. Limitation du traitement supplémentaire 5. Qualité de l'information 6. Franchise 7. Mesures de sécurité 8. Participation de la personne concernée ## Comment se conformer aux conditions POPIA Les exigences POPIA sont vastes et peuvent sembler complexes et déroutantes. Le respect de ces conditions nécessite la mise en place d'une combinaison de politiques organisationnelles strictes et de mesures techniques. Mais en adoptant les bons processus et produits informatiques, la conformité POPIA peut être grandement facilitée. ManageEngine dispose d'une suite complète de solutions de gestion informatique pour aider votre organisation à se conformer aux exigences de sécurité des données, de documentation et d'audit de POPIA. Répondez aux conditions POPIA suivantes à l'aide des solutions ManageEngine. ### Condition 1: Responsabilité ![Accountability](https://www.manageengine.com/fr/protection-of-personal-information-act-popia/images/con1.svg) #### Ce que cela signifie pour votre organisation Nommer un responsable de l'information ou un responsable de l'information adjoint qui aura la seule responsabilité de garantir la conformité lors de la collecte et du traitement des données. #### Comment cela peut-il aider? Les outils de gestion des identités et des accès aideront à établir des contrôles d'accès basés sur les rôles afin que seul le personnel autorisé soit en mesure de traiter les données sensibles. #### Comment ManageEngine peut-il aider? - Access Manager Plus : Créez des rôles personnalisés avec des autorisations de rôle prédéfinies pour vous assurer que les utilisateurs n'ont que l'accès requis pour effectuer leurs tâches. - M365 Manager Plus : Aide à établir un contrôle d'accès basé sur les rôles pour l'administration de Microsoft 365. - Endpoint Central : Accordez les autorisations de votre choix en fonction de plusieurs rôles prédéfinis et/ou personnalisés à l'aide de son approche de contrôle d'accès basé sur les rôles (RBAC). - AD360 : Sélectionnez n'importe quelle combinaison de tâches de gestion, d'audit, de reporting et d'alerte concernant AD et Microsoft 365, et déléguez-les en créant des rôles d'assistance personnalisés. ### Condition 2: Limitation du traitement ![Limitation du traitement](https://www.manageengine.com/fr/protection-of-personal-information-act-popia/images/con2.svg) #### Ce que cela signifie pour votre organisation Ne collectez et ne stockez que les données nécessaires à une finalité spécifique et ne les traitez qu'avec le consentement de la personne concernée. #### Comment cela peut-il aider? Localisez et supprimez les données indésirables, y compris les fichiers obsolètes et en double, à l'aide d'outils de découverte de données. #### Comment ManageEngine peut-il aider? - DataSecurity Plus : Localisez les PII avec son scanner PII. Il prend en charge l'analyse des données sensibles de plus de 50 types de fichiers, y compris le texte et l’email. ### Condition 3: Spécification de l'objectif ![Spécification de l'objectif](https://www.manageengine.com/fr/protection-of-personal-information-act-popia/images/con3.svg) #### Ce que cela signifie pour votre organisation Assurez-vous que les informations collectées sont destinées à un objectif spécifique, bien défini et légitime. Après le traitement, les données doivent être éliminées de manière irréversible. #### Comment cela peut-il aider? Les outils de découverte de données aident à localiser le contenu sensible tel que PII/ePHI et à maintenir un inventaire des données personnelles stockées. Cela évite que l'un des points de stockage des données ne soit oublié dans le processus de suppression. #### Comment ManageEngine peut-il aider? - DataSecurity Plus : Recherchez toutes les formes de PII associées à une personne concernée sur les serveurs de fichiers Windows à l'aide de l'expression régulière ou de la correspondance de mots clés. ### Condition 4: Limitation du traitement supplémentaire ![Further processing limitation](https://www.manageengine.com/fr/protection-of-personal-information-act-popia/images/con4.svg) #### Ce que cela signifie pour votre organisation Le traitement ultérieur doit être compatible avec l'objectif initialement déclaré et nécessite un consentement supplémentaire de la personne concernée, sauf pour des exigences légales ou de sécurité nationale. #### Comment cela peut-il aider? Les solutions SIEM aideront à détecter et à auditer les activités anormales relatives aux données sensibles stockées telles que la fuite de données ou le partage non autorisé, les modifications ou la suppression pour garantir que les données ne sont pas utilisées à mauvais escient par des sources internes ou externes. #### Comment ManageEngine peut-il aider? - DataSecurity Plus : Surveillez et analysez l'utilisation de tous les périphériques amovibles et bloquez les données sensibles copiées sur des périphériques USB avec le suivi USB. - Log360 : Détectez les comportements suspects des utilisateurs avec les algorithmes d'apprentissage automatique non supervisés du moteur UEBA et l'analyse statistique. ### Condition 5: Qualité de l'information ![Qualité de l'information](https://www.manageengine.com/fr/protection-of-personal-information-act-popia/images/con5.svg) #### Ce que cela signifie pour votre organisation Les informations collectées et stockées doivent être complètes, exactes et non trompeuses. Il ne doit également être mis à jour que lorsque cela est nécessaire. #### Comment cela peut-il aider? Un mécanisme d'alerte en temps réel pour notifier l'accès non autorisé, la modification ou la suppression de fichiers contenant des données confidentielles. #### Comment ManageEngine peut-il aider? - Log360 : Générez des alertes e-mail/SMS en temps réel lorsque des fichiers contenant des données confidentielles sont consultés, copiés ou modifiés. Les rapports prédéfinis aident à retracer les activités jusqu'à l'utilisateur concerné. - Access Manager Plus : Créez des journaux contextuels des sessions utilisateur et envoyez instantanément des interruptions SNMP et des messages syslog aux outils SIEM pour prendre en charge les audits de conformité. ### Condition 6: Franchise ![Franchise](https://www.manageengine.com/fr/protection-of-personal-information-act-popia/images/con6.svg) #### Ce que cela signifie pour votre organisation Informer la personne concernée de tous les détails concernant la collecte et le traitement des données. Une documentation stricte de toutes les opérations de traitement doit être conservée comme preuve. #### Comment cela peut-il aider? Générez des journaux d'audit contextuels, des enregistrements de session des utilisateurs traitant des données personnelles et des modèles de rapport prédéfinis pour faciliter la documentation des activités de traitement à l'aide d'une solution de gestion de session privilégiée. #### Comment ManageEngine peut-il aider? - PAM360 : Capturez toutes les activités autour de comptes privilégiés avec des journaux contextuels, des rapports intégrés et des enregistrements de session utilisateur. - Log360 : Activez la collecte de journaux sans agent et basée sur un agent et exploitez des rapports de conformité prédéfinis compréhensibles. ### Condition 7: Mesures de sécurité ![Mesures de sécurité](https://www.manageengine.com/fr/protection-of-personal-information-act-popia/images/con7.svg) #### Ce que cela signifie pour votre organisation Prendre des mesures techniques et organisationnelles pour garantir l'intégrité, la confidentialité et la sécurité des informations collectées. #### Comment cela peut-il aider? Les solutions informatiques peuvent aider les organisations à répondre aux exigences de sécurité de la condition 7: 1. Détecter les vulnérabilités et les attaques externes inconnues à l'aide de règles de corrélation personnalisées dans les outils de gestion des journaux. 2. Effectuer une analyse des causes premières des violations à l'aide de l'analyse des journaux. 3. Automatiser les mises à jour et les correctifs des serveurs, des systèmes d'exploitation, des actifs de l'entreprise et des applications. 4. Gérer et sécuriser les navigateurs sur les réseaux. 5. Auditer et surveiller les ressources critiques pour garantir l'intégrité des données et la protection des actifs de l'entreprise. 6. Détecter les sources vulnérables, limiter l'accès aux fichiers confidentiels et crypter les données en transit pour éviter les failles de sécurité. 7. Fournir des informations telles que les scores de risque des fichiers contenant des informations personnelles et des sources vulnérables pour effectuer une évaluation de l'impact. #### Comment ManageEngine peut-il aider? - Log360 : Détectez les menaces externes potentielles telles que les tentatives d'injection SQL, les activités de ransomware, les requêtes d'URL malveillantes et l'installation de logiciels malveillants. - Patch Manager Plus : Analysez les terminaux pour détecter les correctifs manquants et automatisez le déploiement des correctifs testés. - Browser Security Plus : Effectuez des analyses périodiques de tous les navigateurs accessibles à partir de plusieurs appareils stockant des données d'entreprise. - DataSecurity Plus : Suivez les accès aux fichiers confidentiels à l'aide des journaux d'audit d'accès centralisés et maintenez des pistes d'audit. - PAM360 : Obtenez des enregistrements vidéo, des rapports personnalisés et des journaux d'audit sur l'activité des utilisateurs privilégiés. - ADAudit Plus : Activez l'audit Windows Active Directory en temps réel, l'audit de connexion/déconnexion et l'audit du serveur de fichiers. - Vulnerability Manager Plus : Découvrez les failles de sécurité dans les terminaux locaux et distants et utilisez des analyses basées sur les attaquants. - Password Manager Pro : Organisez et stockez les identités privilégiées à l'aide d'un coffre-fort central et partagez les mots de passe en toute sécurité. - Key Manager Plus : Bénéficiez d'une visibilité complète sur les clés SSH et les environnements SSL. - [Ransomware Protection Plus](https://www.manageengine.com/fr/ransomware-protection/) : Assurez la protection contre les rançongiciels avec de solides mécanismes de détection et de réponse. ### Condition 8: Participation de la personne concernée ![Participation de la personne concernée](https://www.manageengine.com/fr/protection-of-personal-information-act-popia/images/con8.svg) #### Ce que cela signifie pour votre organisation Avoir un système en place pour répondre aux demandes des personnes concernées pour la modification ou la suppression d'informations en raison de données obsolètes, incomplètes, inexactes ou obtenues illégalement. #### Comment cela peut-il aider? Les outils de découverte de données peuvent aider à localiser les fichiers contenant les informations sensibles des personnes concernées pour les corriger, les mettre à jour ou les supprimer davantage. #### Comment ManageEngine peut-il aider? - DataSecurity Plus : Créez des règles et des politiques de découverte de données personnalisées pour localiser les données sensibles stockées dans vos serveurs de fichiers. Générez des rapports incluant le type, l'emplacement et la quantité de données sensibles stockées dans chaque fichier. ## Avertissement Le respect total de la loi POPI nécessite une variété de solutions, de processus, de personnes et de technologies. Les solutions mentionnées ci-dessus sont quelques-unes des façons dont les outils de gestion informatique peuvent répondre à certaines des exigences de POPIA. Associées à d'autres solutions, processus et personnes appropriés, les solutions de ManageEngine aident à atteindre et à maintenir la conformité POPIA. Ce matériel est fourni à titre informatif uniquement et ne doit pas être considéré comme un avis juridique pour la conformité POPIA. ManageEngine ne donne aucune garantie, expresse, implicite ou statutaire, quant aux informations contenues dans ce document.