Sur la voie de la conformité au RGPD – Première partie

par Will Xiang, CAMS, CITP, CPA, CA 

L’entrée en vigueur du Règlement général sur la protection des données (RGPD) approche à grands pas. L’établissement d’un programme de conformité et la redéfinition des priorités opérationnelles sont désormais au cœur des activités des entreprises qui détiennent, ou pourraient détenir, des renseignements permettant d’identifier les citoyens de l’UE. L’objectif est bien sûr de se conformer au RGPD, mais la question est de savoir comment atteindre cet objectif de manière efficace sans nuire aux activités.

L’International Association of Privacy Professionals a récemment publié un résumé des dix principales conséquences pratiques du RGPD. Ce résumé fournit des lignes directrices sur le changement à venir.

Les organisations devront bâtir des cadres concrets, fondés sur les risques et permettant d’appliquer le RGPD d’une façon personnalisée et sensée. La solution mise en œuvre dépendra de la maturité de l’organisation.

Voici les premières questions à se poser :

  • Pratiques internes: Comment l’entreprise utilise-t-elle les données? Où conserve-t-elle les données personnelles? Pourquoi détient-elle des données? Quand recueille-t-elle des données?
  • Pratiques externes: Quels tiers ont accès aux données?
  • Personnes concernées: Comment l’entreprise interagit-elle avec les personnes concernées (les personnes qui fournissent des données)?
  • Processus: Quels sont ses processus internes en matière de sécurité de l’information, de notification des violations et de codes de conduite?

Il faut répertorier les réponses à ces questions de sorte qu’elles soient explicites et facilement accessibles. Les organisations doivent engager des discussions avec les détenteurs des connaissances pour s’assurer que les renseignements reflètent les activités en cours. L’identification de ces détenteurs des connaissances sera une priorité.

Après avoir bien cerné notre degré de maturité, nous devons planifier la mise en œuvre et nous concentrer sur les secteurs plus vulnérables. Nos premiers efforts de collecte de données aideront par ailleurs le futur administrateur de la sécurité des données à s’acquitter efficacement de ses fonctions et à prendre des décisions à partir des données.

Ne manquez pas la deuxième partie, qui portera sur la réalisation des initiatives…