Qu'est-ce que RGPD ?
Le RGPD (Règlement général sur la protection des données) est une loi complète de protection des données de l'Union européenne qui encadre la manière dont les organisations collectent, traitent, stockent et partagent les données personnelles des personnes situées dans l'UE et l'Espace économique européen.
Aussi connu sous le nom de : GDPR, General Data Protection Regulation
Le RGPD énonce sept principes fondamentaux pour le traitement des données : licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité ; et responsabilité. Le règlement accorde aux personnes concernées des droits importants sur leurs données, dont le droit d'accès, de rectification, d'effacement (le « droit à l'oubli »), de portabilité des données et d'opposition au traitement.
Le principe d'intégrité et de confidentialité (article 5, paragraphe 1, point f) exige que les données personnelles soient traitées avec une « sécurité appropriée » — y compris la protection contre l'accès non autorisé, la perte accidentelle ou la destruction. L'article 32 impose explicitement aux organisations de mettre en œuvre des mesures techniques proportionnées au risque, et cite le chiffrement et la pseudonymisation comme mesures appropriées. Les violations de données doivent être notifiées aux autorités de contrôle dans les 72 heures, avec des amendes pouvant atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros.
Les principes de minimisation des données et de limitation de la conservation du RGPD ont des conséquences directes sur la gestion des identifiants et des secrets. Conserver des mots de passe, clés d'API ou jetons d'accès dans des fils d'e-mails ou journaux de discussion persistants crée des stocks de données inutiles qu'il faut protéger puis finalement supprimer. Les organisations incapables de démontrer des mesures de sécurité appropriées pour toutes les données stockées — y compris les secrets opérationnels — s'exposent à des risques réglementaires.
Comment Vaulted utilise RGPD
Vaulted s'aligne sur les principes fondamentaux du RGPD dès sa conception. La minimisation des données est obtenue grâce aux liens autodestructeurs qui suppriment automatiquement les secrets après un nombre configuré de consultations ou une période d'expiration : aucune donnée n'est conservée au-delà de son usage prévu. Le principe de limitation de la conservation est appliqué par l'expiration automatique fondée sur le TTL dans le magasin de données. Le chiffrement côté client en AES-256-GCM et l'architecture serveur zero-knowledge garantissent l'intégrité et la confidentialité : même l'infrastructure de Vaulted ne peut accéder au texte en clair partagé, ce qui réduit l'ampleur d'éventuelles obligations de notification de violation de données.