Le RGPD est plus qu’une simple problématique IT

Avec moins de 12 mois pour se conformer au nouveau Règlement Général Européen sur la Protection des Données (RGPD), il est essentiel pour les organisations de s’intéresser dès maintenant aux différents points sur lesquelles elles devront travailler et s’améliorer.

Ce nouveau règlement implique des amendes allant jusqu’à 4% de leur chiffre d’affaires annuel ou 20 millions d’euros (selon le montant le plus élevé) en cas de non-conformité et ne peut donc être ignoré par les entreprises.

En France, les entreprises ont tendance à penser que le RGPD est une problématique concernant uniquement les départements informatiques. Attention, si vous faites partie de celles-ci vous devriez contacter vos conseillers légaux au plus vite. En effet, l’IT joue bien un rôle essentiel dans la gestion des données personnelles et de leur confidentialité mais le RGPD est un problématique à laquelle toute l’entreprise doit faire face.

Selon l’association de sensibilisation au RGPD, partenaire d’IT Governance, 6 départements clés doivent être informés et impliqués dans le projet de mise en conformité au RGPD.

Vous trouverez ci-dessous la liste des départements affectés et les questions qu’ils devront se poser.

Ressources Humaines (RH)

Les services des Ressources Humaines conservent des données personnelles et sensibles sur tous les employés de l’entreprise. Si vous travaillez dans les Ressources Humaines, vous devriez vous poser les questions suivantes :

  • Quelles données personnelles et sensibles collectons-nous ?
  • Est-ce que nous consignons les raisons pour lesquelles nous collectons les données de nos employés ou futurs employés ?
  • Donnons-nous une explication claire sur le consentement et la façon dont nous traitons les données de nos employés ?
  • Nos politiques, formulaires et formation de sensibilisation sont-elles à jour et en accord avec les nouvelles catégories de données personnelles ?

Juridique

Les droits des personnes concernées ainsi que le délai de réponse dans le cadre d’une demande d’accès aux données étant mis à jour, les services juridiques doivent s’assurer de pouvoir répondre aux questions suivantes :

  • Comment gérer une demande d’accès aux données personnelles ?
  • Votre processus est-il documenté ?
  • Est-ce qu’une partie de ce processus est automatisé ?
  • Peut-il s’adapter à des demandes simultanées ?
  • Connaissez-vous le délai de réponse ?
  • Avez-vous une politique de rétention pour les données publiées ?

Marketing

Le RGPD a pour but de renforcer et d’unifier la protection des données des individus et est considéré comme une refonte complète des lois européennes sur la protection des données. Il représente donc un changement radical pour les services marketing qui devront faire face aux questions suivantes :

  • Lors de la collection de contenu (ex : case à cocher) afin d’utiliser les données personnelles, expliquez-vous clairement pourquoi vous avez besoin de ces données et comment elles seront traitées ?
  • Le consentement est-il explicite et la personne donnant son consentement est-elle clairement informée des tenants et des aboutissants ?

Finance

Le RGPD s’applique également aux identifiants en ligne (ex : EPA) et numéros d’identification (ex : numéro d’employé). Le département finance devra donc se pencher sur les points suivants :

  • Avez-vous revu vos processus afin de vous assurer que ces identifiants sont gérés de façon sécurisée ?
  • Avez-vous consulté les sanctions applicables selon le RGPD et les avez-vous prises en compte dans votre analyse des risques et votre programme de mise en conformité ?

IT (Informatique)

L’idée que la protection des données est une problématique uniquement IT est clairement limitée, il ne faut cependant pas sous-estimer le rôle du département informatique. En effet, la technologie joue un rôle déterminant en ce qui concerne la gestion de la confidentialité des données puisqu’elle offre des moyens de contrôle performants. Les départements informatiques devront donc aborder les problématiques suivantes :

  • Savez-vous quel système contient les données personnelles, y compris les nouvelles catégories de données personnelles ?
  • Etes-vous capables de retrouver ces données en cas de demande d’accès par la personne concernée et, plus important encore, pouvez-vous les effacer ?
  • Sont-elles conservées en toute sécurité, que ce soit en interne dans vos bureaux ou dans le Cloud ?
  • Pouvez-vous identifier des failles de sécurité (ex : piratage) et les analyser afin de déterminer leur impact sur les données personnelles ?
  • Avez-vous un processus en place pour informer l’autorité de contrôle sous 72 heures en cas de violations des données ?

Achats

Selon le RGPD, les organisations sont entièrement responsables de leur chaîne d’approvisionnement des données.

  • Lorsqu’un sous-traitant traite des données pour votre compte et que vous êtes donc le contrôleur des données, vous assurez-vous que le sous-traitant fournit des garanties suffisantes afin de mettre en place des mesures techniques et organisationnelles qui répondent aux exigences du RGPD ?

Comme vous pouvez le constater, le RGPD affecte les organisations de nombreuses différentes façons et les entreprises qui ne se concentre que sur l’aspect technologique risquent de rencontrer des problèmes. Si vous ou vos collègues êtes impliqués dans le projet RGPD de votre entreprise, entamez un dialogue avec les autres départements. Le RGPD doit être un projet de collaboration afin de s’assurer que les personnes et technologies nécessaires sont réunies afin de construire un business basé sur la confidentialité des données, digne de la confiance de ses employés et de ses clients.

Vous ne savez pas par où commencer dans votre projet RGPD ?

Pourquoi ne pas contacter nos consultants ? Ils mèneront une analyse des écarts afin de voir le niveau de conformité de votre entreprise avec le nouveau règlement et de vous aider à identifier et prioriser les domaines clés sur lesquels vous devrez vous concentrer avant mai 2018.  Cliquez ici pour en savoir plus (Anglais).

Leave a Reply

Your email address will not be published. Required fields are marked *