Passer au contenu principal
Inquiété·e par le RGPD ? Découvrez les clés pour assurer le succès de votre mise en conformité ! - actualités
Actualités
Inquiété·e par le RGPD ? Découvrez les clés pour assurer le succès de votre mise en conformité ! - vache_final10_15

Inquiété·e par le RGPD ? Découvrez les clés pour assurer le succès de votre mise en conformité !

écrit par : Aurore

Catégories : En bref,

Pour ceux qui se demandent encore pourquoi le RGPD – le Règlement Général sur la Protection des Données (GDPR en anglais) – provoque tant d’émoi, sachez que sa date d’entrée en application arrive à grand pas. En effet, à partir du 25 mai 2018, tous les acteurs économiques, sociaux et publics qui traitent des données personnelles – c’est-à-dire probablement tous ! – devront être en mesure de démontrer leur conformité avec le RGPD, au risque de se voir infliger une pénalité pouvant s’élever jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros, selon le montant le plus élevé.

Contrairement à ce que beaucoup d’entreprises pensent, le RGPD ne traite pas seulement de la sécurité des données. Il ne suffit donc pas d’encrypter les données en SSL ou de protéger le serveur au moyen d’un firewall. Le législateur européen a imaginé toute une panoplie d’outils dans le but de faciliter la libre circulation des données personnelles au sein de l’Union tout en rendant au citoyen le contrôle de l’usage de ses données. En prenant la révolution digitale à bras-le-corps, l’Union Européenne espère dynamiser et moderniser l’économie, tout en faisant respecter le droit à la vie privée.

En vérité, le contenu du RGPD n’est pas révolutionnaire. Il reprend en grande partie les éléments principaux de la directive sur la protection des données personnelles de 1995. Cependant, en revêtant le format de règlement, le RGPD devient directement applicable dans les États membres qui ne doivent donc pas le transposer dans la législation nationale via les procédures législatives à vélocité variable, mais souvent trop lentes.

Alors, pourquoi tant d’agitation ? Il semble clair que malgré sa vétusté, le cadre juridique européen sur la protection des données personnelles n’était jusqu’ici que très rarement appliqué dans les entreprises, mais aussi au niveau des pouvoirs publics ! Les sanctions donnent aujourd’hui le coup de fouet qui réveille tout le monde.

Avec ses 173 considérants et 99 articles écrits en jargon juridique et suivant une logique parfois difficile à suivre, pas toujours facile de s’y retrouver ! C’est pour cela que les experts d’Ingestic ont développé EasyRegul, l’outil d’orientation RGPD destiné aux professionnels du secteur privé et public. L’équipe qui s’est attelée à la tâche de rendre le RGPD compréhensible au commun des mortels se compose de juristes, de consultants IT et de business analysts. L’alliance de ces compétences est indispensable à l’implémentation pratique d’une politique cohérente de protection des données au sein de votre organisation.

Les concepts clés de la mise en conformité avec le RGPD vous y sont exposés de manière claire et sont enrichis d’exemples. EasyRegul donne également accès à une analyse juridique suivant la structure du RGPD et à une sélection de liens directs vers des documents d’entités spécialisées en privacy. Une plateforme interactive de discussion vous met en contact avec l’équipe d’experts à laquelle vous pouvez poser vos questions. Vous ferez également partie de la communauté EasyRegul et vous pourrez échanger vos idées et vos bonnes pratiques entre professionnels.

La mise en conformité avec le RGPD commence par une analyse en profondeur des processus de traitement de données personnelles liés aux activités de l’organisation. Pour cela, il faut d’abord bien cerner les concepts de “données à caractère personnel” et de “traitement”. Ensuite, viennent les questions suivantes : Où se trouvent les données ? Qu’en fait-on ? Dans quel but ? Ces questions permettent d’adapter la problématique de la protection des données aux opérations propres à l’organisation. On peut alors établir un “registre des traitements” et évaluer la nécessité d’un “délégué à la protection des données” (Data Protection Officer ou DPO) et celle d’une “analyse d’impact” (Data Protection Impact Assessment ou DPIA).

Il faut ensuite développer le régime permettant aux “personnes concernées” – c’est-à-dire les personnes physiques identifiables sur lesquelles sont collectées les données à caractère personnel – d’exercer leurs droits d’accès, de rectification, d’opposition, d’effacement et de portabilité. Il est conseillé de prévoir des moyens automatisés pour (une partie de) la gestion des demandes, par exemple en donnant le contrôle aux personnes concernées via un tableau de bord qui reprend les informations les concernant et l’usage qui en est fait. Lors de l’exercice des ces droits, le responsable du traitement doit toujours vérifier l’identité de la personne qui fait la demande.

L’étape suivante consiste en la mise en place de protocoles internes visant à la sécurité technique et organisationnelle. Premièrement, les mesures IT permettent de sécuriser les données de manière technique compte tenu de leur degré de sensibilité et de leur volume. Afin de garantir la protection et l’intégrité des données contre l’accès non-autorisé, la destruction ou la perte accidentelle, on peut penser à la mise en place de mots de passe, de pistes de vérification permettant d’identifier l’accès aux données (via des logs et des audit trails), de codes rendant impossible la modification des données archivées et de techniques telles que l’anonymisation, la pseudonymisation et le cryptage. Dans cette optique, il faut prévoir un registre des incidents de sécurité, à présenter au management régulièrement. Les organisations tendent à sous-estimer la fréquence de tels incidents.

Deuxièmement, les mesures organisationnelles doivent principalement garantir que seules les personnes autorisées ont accès aux données et qu’elles en font seulement un usage autorisé. Les agents qui manipulent les données doivent donc être sensibilisés et informés sur les bonnes et les mauvaises pratiques. Cela implique par exemple de mettre en place une politique de changement de mots de passe, d’organiser des sessions de formation et d’émettre des lignes directrices sur les moyens de communiquer les données de façon confidentielle. Des protocoles internes doivent également décrire les procédures à suivre en cas de violation de données, ainsi que prévoir la gestion des demandes des personnes concernées.

La mise en conformité avec le RGPD n’est pas seulement une corvée, mais elle présente certainement une opportunité, et peut-être même un avantage concurrentiel. Cet exercice permet de poser un regard nouveau sur ses propres activités, mais aussi de faire le ménage dans ses banques de données. On peut alors retrouver des choses oubliées ou perdues. Plus encore, les citoyens sont de plus en plus conscients du manque d’emprise sur leurs propres données. Ils se tourneront donc vers les services qui leur donnent confiance, non seulement du point de vue de la qualité du service en lui-même, mais aussi du point de vue du respect de leur vie privée.

À l’occasion de la Data Privacy Day, le 28 janvier dernier, les titans du numérique comme Google et Facebook, voraces de nos données personnelles, ont revu leur politique concernant la vie privée et ont mis à disposition des internautes des outils d’information et d’exercice de droits (comme le droit d’effacement et celui de portabilité). Une nouvelle sorte de discipline voit le jour : la privacy engineering. Actuellement, les outils comme One Trust (une plateforme de gestion des traitements) ou Senzing (un logiciel permettant d’indexer et de localiser toutes vos données) envahissent le marché.

Soyez conscients que votre mise en conformité avec le GDPR n’est que le début d’une longue transformation. C’est aussi pour cela que la désignation d’un DPO peut être utile à long terme, même lorsque l’organisation n’y est pas obligée. Une politique de gouvernance de la vie privée à part entière prévoit l’évaluation des mesures mises en place, ainsi que la révision régulière des procédures et de la sécurité des données. Tout au long du chemin, l’ensemble du personnel doit être sensibilisé à la problématique de la protection des données personnelles, depuis l’agent qui manipule directement les données jusqu’au plus haut niveau du management. Idéalement, à chaque nouveau projet, l’équipe en charge devrait penser “Data Protection by Design”, et évaluer les bénéfices et les risques que les nouvelles opérations produiront sur les personnes concernées et sur leurs données. Cet exercice deviendra alors business as usual.

L’économie numérique a réellement besoin d’une révolution copernicienne par laquelle nous rebrancherons nos attitudes et nos attentes vis-à-vis des données personnelles. Le monde entier a le regard tourné vers l’Europe, qui donne le ton. Vous avez maintenant l’opportunité d’être des acteurs de votre changement en saisissant la balle au bond !

J'accepteJe refuse C'est quoi un cookie ? Fermer

Vos préférences de cookie ont bien été modifiées

error: