Comment démarrer votre mise en conformité avec le RGPD ? Nous avons demandé à des experts

Comment démarrer votre mise en conformité avec le RGPD ? Nous avons demandé à des experts

Nous avons regroupé les principaux conseils que votre entreprise doit prendre en considération si elle vise à se mettre en conformité avec le règlement général sur la protection des données de l'UE, d'ici à son entrée en vigueur le 25 mai 2018.

Pour bien commencer et connaître son impact commercial

Le règlement arrivant à échéance dans moins d'un an, Brian Honan (@BrianHonan), PDG de BH Consulting, déclare qu'il est temps pour les entreprises, quels que soient leur taille et leur type, de commencer à planifier leur mise en conformité avec le RGPD.

« Commencez dès à présent à vous renseigner sur le RGPD et sur la façon dont il affectera votre entreprise. Il entrera en vigueur dans moins d'un an, il est donc important que tout soit en place avant l'échéance du 25 mai 2018 », explique-t-il.

Son commentaire sur le respect de l'échéance a été confirmé par l'analyste IDC Duncan Brown (@duncanwbrown), qui déclare simplement : « Mon principal conseil ? Commencez. Trop d'entreprises continuent à faire l'autruche ou à penser que le RGPD ne s'appliquera pas à elles. »

Il poursuit en ajoutant que les entreprises doivent ainsi accélérer leur mise en conformité en hiérarchisant ce qui est important : « Recherchez les secteurs qui nécessitent une attention immédiate et concentrez-vous sur ceux-ci. Cela peut se traduire par des lacunes dans la couverture du processus ou la sensibilité des données, par exemple.

« Préparez-vous à un changement de mode de vie. Le RGPD n'est pas une mesure éclair qui court sur une période déterminée, il oblige les entreprises à changer leur comportement de manière durable. »

Penny Jones, analyste en chef pour 451 Research (@451Research), acquiesce, en ajoutant que la compréhension du règlement et de la façon dont il affecte votre entreprise est fondamentale. « Les entreprises doivent commencer à faire tout ce qui est en leur pouvoir pour comprendre (même s'il s'agit de leur propre interprétation du RGPD) ce que le règlement les oblige à faire pour se mettre en conformité.

« Elles doivent consigner tous les processus mis en place pour être ou rester en conformité, car cela les aidera pour toutes les enquêtes concernant le RGPD qui pourraient être ouvertes par l'autorité de protection des données de leur juridiction ou si une enquête est portée devant un tribunal. » À moins que ces enquêtes n'arrivent devant la Cour de justice de l'Union européenne ou devant la juridiction des organismes de réglementation locaux, une grande partie du RGPD reste soumise à interprétation. À l'heure actuelle, une entreprise reste la mieux protégée si elle peut prouver qu'elle a effectué les étapes qu'elle jugeait nécessaires pour se mettre en conformité. »

Neira Jones (@neirajones), conseillère en technologie et consultante, et ancienne directrice de la sécurité des transactions pour Barclaycard, ajoute que ceux qui se préparent pour le RGPD doivent commencer à se renseigner sur le fonctionnement du règlement en regard des autres réglementations du secteur, tout particulièrement alors que certaines d'entre-elles pourront englober des dispositions prévues par le RGPD.

« Ne considérez pas le RGPD de manière isolée. Considérez-le en complément à d'autres dispositions, telles que la directive sur les services de paiement (particulièrement pour la sécurité et l'authentification), la quatrième directive anti-blanchiment (particulièrement la règle KYC et l'identification par authentification), la directive vie privée et communications électroniques (qui est Lex Specialis pour le RGPD), le bouclier de protection des données et la norme PCI DSS.

« Si vous considérez toutes ces dispositions de manière globale pour les aspects liés à la sécurité ou à la criminalité financière, vous permettrez beaucoup de synergies et d'économies d'échelle. Les organisations pourraient se rendre compte qu'elles font déjà beaucoup en matière de conformité. »

Nomination d'un DPD

Parmi les priorités les plus urgentes, Honan ajoute : « Les pistes principales à prendre en considération seront de savoir qui sera votre délégué à la protection des données [cela n'est pas obligatoire, sauf pour certaines organisations, mais peut être bénéfique dans certains cas – N.D.L.R], comment assurer la protection des données dès la conception (Privacy by Design) dans vos produits et/ou vos services, et comment êtes-vous préparés afin de détecter et de répondre à une violation de la protection des données liée à des informations personnelles. »

Bien que la nomination d'un DPD n'est pas obligatoire dans le nouveau règlement, certains suggèrent que ce rôle peut aider à améliorer la réputation de protection des données d'une entreprise.

« Confiez du pouvoir et de la responsabilité à un délégué à la protection des données ayant un accès direct au conseil d'administration », conseille Edward Lucas (@edwardlucas), rédacteur en chef pour The Economist, lorsqu'on lui demande ses recommandations pour la mise en conformité avec le RGPD.

Nettoyage des données et développement de la confiance

« Mon principal conseil pour la mise en conformité avec le RGPD est de s'assurer, avant toute autre action, que vous comprenez votre patrimoine de données », explique Dan Hedley, associé principal chez Irwin Mitchell (@irwinmitchell).

« J'entends par là les données que vous possédez, qui elles concernent, d'où elles proviennent, pourquoi vous en avez besoin, ce que vous en faites, où elles sont stockées, avec qui elles sont partagées, comment vous les maintenez à jour, combien de temps vous les conservez, les informations que vous avez données aux gens à propos de toutes ces choses et la façon dont vous leur avez donné. Il vous sera impossible d'amorcer le processus de mise en conformité avant d'avoir répondu à ces questions fondamentales, car vous ne pourrez pas savoir ce qu'il vous faut faire afin d'assurer votre mise en conformité. »

Neira Jones confirme qu'il faut analyser les données collectées et stockées, et ajoute : « Si vous n'en avez pas besoin, ne les collectez pas ! Minimisez les données que vous collectez, protégez ce qui reste en conséquence et ayez une politique de rétention pertinente. »

Rowenna Fielding (@Missig_geek), directrice de la protection des données pour Protecture Limited, renchérit : « Ne voyez plus la conformité comme des cases à cocher et commencez à contrôler les données personnelles de la même manière que votre organisation contrôle l'argent. Sachez d'où elles viennent, qui les utilise, pourquoi, où elles sont conservées et où elles transitent. Dès lors, la conformité (ainsi qu'une bonne expérience client) devrait venir naturellement. »

« Le RGPD est l'occasion de faire un grand ménage de printemps », déclare Elliott Haworth (@ElliottDHaworth), rédacteur d'articles commerciaux pour City A.M., qui a écrit de nombreux articles sur le sujet.

« Le mappage des données à l'échelle du système est un bon point de départ : les demandes d'accès seront plus simples à gérer si vous savez quelles données personnelles sont conservées au sein de votre entreprise et l'emplacement où elles sont stockées. Après avoir défini ce que vous détenez, posez-vous les questions suivantes ; pourquoi possédez-vous ces données ? En avez-vous réellement besoin ? Pourquoi les utilisez-vous ? Si aucune réponse immédiate ne s'impose, supprimez-les. Vous aurez à justifier un consentement explicite pour chaque donnée que vous possédez, donc moins vous en aurez, plus facile ce sera.

« Je pense que la condition la plus importante pour la mise en conformité avec le RGPD est probablement la sincérité », soutient l'activiste de la protection de la confidentialité Alexander Hanff (@alexanderhanff), PDG et fondateur de Think Privacy.

« Si vous n'êtes pas sincère avec vous-même à propos des données que vous collectez, de vos intentions pour leur traitement et leur rétention, mais aussi de si vous avez réellement besoin de ces données en premier lieu, vous aurez du mal à vous mettre en conformité. L'une des procédures les plus adaptées en ce sens est l'évaluation de l'impact de la confidentialité, mais elle doit là encore être effectuée en totale sincérité.

Mais la sincérité représente bien plus qu'une introspection. Vous devez également être sincère avec vos responsables de la protection de la vie privée ou vos responsables de la protection des données. Ce ne sont pas des développeurs, ce ne sont pas des commerciaux, ils font leur travail avec sincérité et, si vous n'êtes pas sincère avec eux, là encore vous pourrez rencontrer des problèmes de mise en conformité. »

Hanff ajoute que cette sincérité devrait s'appliquer dans le cadre d'une mise à jour des politiques de confidentialité et aux échanges avec les organismes régulateurs en cas de non-conformité.

Analyse globale des risques et communications claires

Stewart Room (@stewartroom), responsable international en matière de cybersécurité et de protection des données pour la société PwC Legal, affirme : « La clé du succès est de définir une approche de la hiérarchisation du programme RGPD basée sur les risques. Cela nécessite une base pour l'analyse globale des risques qui va bien au-delà de la simple question du risque légal lié à la conformité. Les entités doivent prendre en considération l'éventualité d'un contrôle défavorable et les formes sous lesquelles il peut se présenter. Cela permettra d'indiquer aux entités les nouveaux sujets brûlants les concernant. »

Rav Roberts, responsable international en matière de gouvernance numérique et de conformité pour Diageo (@diageo_News), explique que la communication est primordiale afin de permettre aux entreprises de se mettre en conformité avec le RGPD.

« Mon principal conseil, pour une entreprise internationale comme la nôtre, est de se concentrer sur une participation intelligente et efficace ainsi que sur des communications ciblées, avec toutes les parties prenantes internes et externes affectées par le RGPD. »

En interne, Roberts précise que cela devrait inclure les services commerciaux, légaux, informatiques, d'approvisionnement et les ressources humaines, ce qui revient globalement à l'ensemble des employés. Cependant, il remarque que les entreprises devraient se concentrer sur les parties externes, comme les agences, les intégrateurs de systèmes et, tout particulièrement, les organismes de réglementation comme l'ICO.

Juridique Propriété des données Responsable de la conformité Responsable de la sécurité informatique

Donnez-nous votre avis et rejoignez-nous sur LinkedIn!

S'ABONNER

S'inscrire pour recevoir les bulletins GDPR & Beyond