Les 8 réflexes
1. Pas de PII en clair dans les logs. 2. Chiffrement at-rest sur la base de données. 3. TLS 1.2 minimum partout. 4. Pseudonymisation pour les environnements de pré-prod. 5. Suppression réelle (hard delete) sur demande. 6. Audit log d'accès aux données sensibles. 7. Politique de rétention codifiée et automatisée. 8. Liste à jour des sous-traitants techniques.
Ce qui n'est pas négociable
Les points 1, 5 et 6. Les autres se priorisent selon votre contexte.
Le piège fréquent
Penser que la conformité juridique remplace les bonnes pratiques techniques. Non : les deux sont nécessaires.