Depuis environ un an, les experts de cybersécurité demandent, avec de plus en plus d’inquiétude, si vous êtes conformes au Règlement Général Européen sur la Protection des Données (RGPD).
Avec un peu de chance vous êtes conformes, mais il est important de vous rappeler que la conformité ne correspond pas à une période déterminée. Vous ne pouvez malheureusement pas vous arrêter et vous dire ça y est, c’est fini, « mission accomplie ». En effet, la conformité doit être maintenue afin de rester au fait des changements dans le domaine de la cybersécurité.
Il s’agit d’un des problèmes principaux liés au respect des normes : les organisations consacrent beaucoup de temps et d’efforts à leur projet de mise en place mais ne poursuivent par leur travail et perdent rapidement leur niveau de conformité.
Les conséquences peuvent être coûteuses. La non-conformité avec le RGPD peut engendrer des amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, selon le montant le plus élevé.
La bonne nouvelle est que le maintien du niveau de conformité ne devrait pas être aussi difficile à concrétiser que son obtention, surtout si vous vous y êtes bien préparé. Voici trois conseils pour vous lancer.
Mener des audits de flux de données réguliers
Les audits de flux de données vous permettent d’identifier les informations détenues par votre organisation ainsi que leurs déplacements d’un endroit à un autre, tel que les données provenant de fournisseurs. Vous devriez avoir mené ou avoir prévu de mener, un audit de flux de données dans le cadre de votre projet de mise en conformité, mais vous devriez répéter le processus régulièrement afin de tenir compte des utilisations de données imprévues et involontaires.
Réviser vos processus organisationnels et vos technologies
Le RGPD indique que les mesures technologiques et organisationnelles doivent être « appropriées ». Il s’agit d’un terme volontairement vague lié au fait que les bonnes pratiques évoluent continuellement. Plutôt que de préciser que certaines technologies seront dépassées d’ici un an ou deux, le règlement laisse aux organisations le soin de suivre les bonnes pratiques de leur choix.
Sensibilisation du personnel
Le RGPD indique que les employés doivent suivre des formations de sensibilisation à la sécurité de l’information régulières. Cela devrait déjà être une pratique commune au sein de votre organisation, mais il est essentiel pour le personnel de suivre ces formations durant leur période d’intégration et de les répéter au moins une fois par an. Ces formations doivent également comprendre des informations sur les exigences du RGPD ainsi que sur la façon dont les employés peuvent s’y conformer.
Les organisations luttent souvent pour mettre en place un programme détaillé répondant aux besoins des employés. Beaucoup d’entre elles trouvent plus facile d’utiliser les solutions de tierces parties, telles que les formations de sensibilisation du personnel à la sécurité de l’information et au RGPD.
Ces formations en ligne couvrent tout ce que vos employés doivent savoir et leur permet d’étudier à un rythme qui leur convient. Pas besoin de vous préoccuper de trouver des formateurs qualifiés afin de dispenser des formations à un horaire précis ou de subir des chutes de productivité, puisque les employés peuvent suivre les formations quand cela leur convient.
