Article
RGPD / GDPR : les 7 Chantiers prioritaires
Le règlement Européen GDPR / RGPD aura un impact assez fort sur les processus de traitement des données personnelles dans l’Union Européenne et prendra effet le 25 mai 2018. Toutes les entreprises Européennes et non Européennes qui offrent des services ou des produits en Europe sont concernées par la réglementation. Elles doivent donc être conformes au règlement à sa date de prise d’effet. Beaucoup d’entreprises ont récemment commencé à se préparer pour le GDPR et ne seront pas totalement prêtes à cette date alors que ce projet d’envergure nécessite énormément de temps, de ressources (juridique, business, IT, ressources humaines…) et de planification (objectifs, responsabilités, livrables, prérequis, ressources, durée, budget alloué…). Voici 7 grands chantiers du projet GDPR à ne pas manquer :
- L’organisation : Mettre en œuvre l’organisation pour assurer les missions du « Data protection Officer » au sein de l’entreprise, identifier les points de contacts (IT, ressources humaines, juristes, product owner…), définir les politiques, processus et procédures utiles au maintien de la conformité.
- La mise en conformité des processus de traitement de la donnée : Réaliser la cartographie des données personnelles, identifier les parties prenantes impliquées dans la collecte, le stockage, la transformation, l’usage des données et effectuer un « Gap analysis » entre les exigences réglementaires et la réalité de l’entreprise, identifier les risques sur la vie privée grâce à l’analyse d’impact, adopter le « Privacy By Design » pour les nouveaux projets.
- La gestion des droits des personnes et du consentement : Mettre en place un processus de gestion des droits des personnes et du consentement, s’assurer que le système d’information est en mesure de répondre aux exigences.
- Les mécanismes de sécurité et de protection des données : Mettre en place toutes les mesures suffisantes au regard des risques identifiés pendant l’analyse d’impact pour garantir la protection des données personnelles, mettre en place une organisation pour détecter et réagir efficacement à une fuite de données conformément au GDPR, s’assurer que les transferts de données en dehors de l’Union Européenne sont couverts par la réglementation.
- La politique d’archivage et de conservation des données : Cette exigence incontournable existait avant le nouveau règlement Européen, c’est une exigence clé qui ne doit pas être négligée. Mettre en place une politique d’archivage et conservation des données personnelles, s’assurer que le système d’information est en alignement avec cette politique.
- La gestion des sous-traitants : Effectuer l’inventaire de tous vos sous-traitants, s’assurer qu’ils mettent en œuvre les mesures nécessaires pour répondre aux exigences réglementaires et ajouter les clauses contractuelles garantissant le respect des exigences du GDPR, actualiser le processus d’achat afin de vous assurer que les futurs sous-traitants soient « GDPR Compliant » avant toute signature de contrats.
- La formation / communication / sensibilisation des collaborateurs et des sous-traitants : Assurer une sensibilisation des collaborateurs sur la prise en compte du GDPR au sein de l’entreprise et les attendus les concernant.
Pour répondre aux exigences d’« accountability », toutes ces actions doivent bien entendu être tracées, documentées et auditables.