Inutile de rappeler que le Jon Snow de la Data, c’est vous !
En valeureux guerrier, vous souhaitez aujourd’hui partir à la conquête de ce territoire obscur qu’est la RGDP (ou GDPR pour les troupes mobilisées à l’international).
Connaissance du terrain, plan de bataille, choix de vos alliés… Avant de vous lancer à l’assaut, prenez le temps de réfléchir et de lire ces quelques conseils qui vous permettront d’établir la meilleure des stratégies pour réussir cette nouvelle et trépidante conquête !
Conseil #1 : déterminer les contours de ce territoire
Soyons clairs ! On entend beaucoup parler de la RGPD, mais concrètement qu’est-ce que c’est ?
Le Règlement Général sur la Protection des Données (RGPD) (en anglais : General Data Protection Regulation, GDPR) est le nouveau règlement européen décidé en décembre 2015 qui s’appliquera dès 2018 à toute organisation (entreprise mais aussi administration, association…) qui collecte, traite et stocke des données personnelles, et dont l’utilisation peut directement ou indirectement identifier une personne. ll renforce et unifie ainsi la protection des données pour les individus au sein de l’Union Européenne.
Par données personnelles, on entend les informations des employés, clients, partenaires, prospects, que celles-ci se trouvent sur des ordinateurs, des terminaux mobiles ou des serveurs. Ou encore dans des échanges emails ou dans la consignation des logs et du traçage (même non identifié) des visiteurs du site Internet de l’entreprise.
Les organisations se voient ainsi contraintes, sur un délai relativement court, de revoir leur stratégie de confidentialité, d’accès, de sécurité et de gouvernance de l’information. Certaines obligations impactent même directement le Système d’Informations, son organisation et ses processus clés de gouvernance et de management, comme par exemple :
- des évaluations, à partir des données, d’impact sur la vie privée, le PIA (Privacy Impact Assessment)
- une confidentialité et une sécurité de l’information systématiques
- des inventaires et une cartographie des données personnelles sur l’ensemble des bases de données, des applications et plus généralement des systèmes d’information en place
- la nomination obligatoire d’un délégué à la protection des données (DPO ou Data Protection Officer)
- la notification, auprès du législateur, sous 72 heures de la violation des données personnelles détectée
- les preuves documentées permettant de valider des « efforts raisonnables » mis en avant dans tous ces domaines.
Conseil #2 : déterminer les risques
Et si finalement vous décidiez de ne pas partir en quête de la RGPD ?
En cas de non respect de la réglementation, les sanctions peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros. L’organisation fautive devra également indemniser toute personne lésée matériellement ou moralement par un traitement non-conforme de ses données, sans plafonnement.
Conseil #3 : mettre en place l’offensive
Et concrètement, par où commencer et quelles étapes opérer ?
- étape 1 : structurer le projet, nommer les acteurs clés, définir les jalons
- étape 2 : cartographier les traitements de données personnelles, analyser la conformité de ces traitements et les risques associés
- étape 3 : évaluer le niveau de conformité de vos processus internes
- étape 4 : déployer les plans de remédiations définis lors des étapes 2 et 3
- étape 5 : documenter la conformité
Conseil #4 : être épaulé par des soldats expérimentés
Pour réussir ce challenge, nous vous conseillons de vous entourer des meilleurs soldats, qui seront à même :
- de vous aider à appréhender tous les tenants et aboutissants de ce nouveau règlement
- de vous accompagner sur la mise en place du projet de mise en conformité
- de vous conseiller sur les données et traitements soumis à la réglementation au sein du Système d’Informations
- de vous proposer un outil de Metadata Management qui permettra d’industrialiser et de piloter la mise et le maintien en conformité.