Récemment, une importante évolution a été remarquée au niveau du cadre législatif concernant la protection des données. Ceci est dû à la mise en place du nouveau règlement européen RGPD. Il est important de l’appliquer afin d’éviter toute pénalisation d’une autorité de contrôle, notamment une amende pouvant s’élever jusqu’à 4% de votre chiffre d’affaires dans le cas où votre entreprise s’avère ne pas être en conformité. Vous souhaitez préparer votre conformité ? Voici les quelques actions que vous devez mettre en place.
La sensibilisation de la direction, de l’équipe RGPD et de tous les collaborateurs
« On ne fait pas d’omelette sans casser des œufs », dit-on. C’est aussi la même chose avec le RGPD. Mieux vous sensibilisez vos collaborateurs en amont, moins il y aura d’erreurs dans le traitement et la protection et la sécurité des données à caractère personnel. Avant d’être un outil, un RGPD est avant tout un sujet d’Humains. En tant que responsable du traitement de système d’information de votre entreprise, vous devez informer le comité de direction de débloquer un budget, mais aussi de désigner un délégué à la protection des données ou DPO.
Ensuite, il est du devoir de celui-ci de planifier et de piloter une formation adaptée aux personnes physiques qui seront en charge de la mise en œuvre du traitement du data personnel et de la mise en conformité. Vous pouvez par exemple faire appel à ce développeur pour vous accompagner dans votre projet de protection des données à caractère sensible.
Le recensement exhaustif des applications, des sous-traitants et des sites Internet
La nouvelle règlementation générale sur la protection des données sensibles a un important impact aussi bien sur l’humain que les outils, les contrats et les process. Comme le RGPD exige une chaîne bien conforme, allant du sous-traitant au client, sans oublier de passer par l’entreprise responsable, il faut que votre démarche soit globale.
Voici les pôles d’analyse de risques importants afin d’aborder les différentes phases de protection de la vie privée, de manière sereine :
Les applications qui vont vous permettre le traitement et la collecte de données ;
Les sous-traitants : les prestataires à qui vous allez devoir confier entièrement ou partiellement le traitement des données ;
Les sites web, les applications mobiles, les registres et autres : ils vont vous servir de canaux pour recueillir les données traitées.
Il vous faut mobiliser l’ensemble de votre entreprise afin de réussir la réalisation de cet inventaire. Grâce à la sensibilisation à l’avance, chaque membre de votre équipe saura optimiser votre projet de data protection et de conformité aux obligations légales de loi informatique et libertés.
La priorisation des actions à mener
Le RGPD est un véritable sujet d’ampleur. Il va inviter chaque collaborateur à remettre en cause sa façon de travailler ainsi que les outils obligatoires qui y sont rattachés tout en les faisant évoluer. Ce sont ses finalités. Pour ne pas vous éparpiller dans votre plan d’action, il est important de prioriser. Vous n’avez pas droit à l’oubli. Réfléchissez, visez, chargez, tirez, puis contrôlez l’impact pour pouvoir ajuster votre mire si nécessaire.
D’après la CNIL, voici ce que vous pouvez faire pour prioriser vos actions :
Identification de vos secteurs à risques : au niveau de l’utilisation, de stockage, mais aussi biens des processus et autres
Identification de vos secteurs à potentiel, notamment la valorisation de votre image de marque ou encore la prise des parts de marché aux concurrents grâce au label CNIL.
RGPD : la capitalisation et la pérennité de la démarche pour mettre en conformité
Selon la taille et les activités de votre entreprise, il faut environ six à 20 mois pour démarrer votre projet RGPD et atteindre un bon niveau de conformité. C’est le délai qu’il faut pour fédérer tous vos collaborateurs et les services de votre structure autour d’une démarche de qualité. A cette étape, vous êtes à la moitié du chemin.
Il faut préciser que le RGPD n’est pas un sujet à traiter en quelques clichés et à balayer en seulement quelques mois pour être ensuite archivé. Non, il faut que vous pensiez à renouveler l’ensemble des actions menées, de manière régulière et ce, sur du long terme. Il est en effet important que l’engagement en matière de traitement, de sécurisation et de protection de données personnelles aille au-delà du simple respect des contraintes légales. Le RGPD a et aura un impact sur le fonctionnement de votre entreprise et devra s’inscrire dans la politique de votre entreprise. Il vous faut aussi faire un suivi régulier et systématique pour une meilleure sécurité informatique.
Les commentaires sont fermés.