L’arrivée de la GDPR impose que toute société prenne un certain nombre de mesures fondamentales ou vérifie que ses procédures existantes sont suffisamment en adéquation. Petite liste de priorités.
Celles tout d’abord d’Antoine Declève, avocat associé au cabinet Célès:
– vérifier les procédures existantes
– mettre en oeuvre des mesures techniques de protection des données, en ce compris, dans certains cas qui le justifient, recourir à des techniques de chiffrement, d’anonymisation, de pseudomisation
– revoir les déclarations de confidentialité
– revoir les contrats
– définir et documenter un processus de réaction en cas de fuite, vol, usurpation… de données, afin de pouvoir réagir (notifier) dans un délai de 72 heures, comme l’exige le nouveau règlement
Pour Kris Vansteenwegen, de NRB, la marche à suivre est la suivante:
- identification des données
- classification des données – à caractère personnel ou non, sensible ou non…
- concertation avec un conseiller juridique pour bien “dimensionner” les mesures à prendre
- “simplification” des données: “il faut demander à certains fournisseurs de ne plus envoyer de données à caractère personnel afin de réduire le champ à sécuriser et le champ d’application du DGPR”
- anonymisation des données, pour les mêmes raisons, mais le faire en collaboration étroite avec un juriste “parce que le concept-même d’anonymisation est sujet à interprétation”
- exercice de risk assessment
- établissement d’une feuille de route en vue d’être conforme au nouveau Règlement à la date-butoir de son entrée en application (le 25 mai 2018)
Les consultants de Mielabelo, pour leur part, énumèrent quelques conseils “très ciblés par rapport aux contraintes haut niveau du règlement”
1. Connaître votre ennemi
Une bonne connaissance de ces nouvelles contraintes apparaît indispensable afin de définir une approche soutenable et pragmatique de mise en conformité. Délégué à la Protection des données, consentement explicite, notification de fuite de données, Privacy by Design, Privacy by Default, Privacy Impact Assessments, etc.. Autant de contraintes et de concepts qu’il vous faudra comprendre pour fourbir vos armes au moment voulu !
2. Sensibiliser la hiérarchie à la montée en puissance prévisible des autorités de protection nationales
Les sanctions potentielles devraient suffire à faire comprendre au management l’importance du nouveau règlement et toute l’utilité d’un programme de mise en conformité. Sans cette prise de conscience du Management, il est difficile de mobiliser les forces vives et de sensibiliser l’ensemble du personnel.
3. Mettre en place une organisation efficace au service de la conformité
La désignation d’un Délégué à la Protection des données (DPO) s’impose. Son implication dans chaque initiative impliquant un traitement de données à caractère personnel est une condition minimale du concept de Privacy by Design.
4. Cartographier les flux de données personnelles
Difficile de se mettre en conformité sans connaître les flux de données à caractère personnel au sein des différents processus métier de l’organisation. Identifier ces flux, comprendre les entrées, traitements et sorties d’information est une étape essentielle afin d’espérer assurer un niveau de conformité minimal. Le cycle de vie de l’information, c’est-à-dire l’acquisition, le stockage, l’utilisation, le partage, la destruction et l’archivage de données, doit donc faire l’objet d’une documentation claire de façon à pouvoir évaluer les contrôles mis en place, leur adéquation par rapport aux risques identifiés et les opportunités d’amélioration à cet égard.
5. Établir des politiques internes de gouvernance et de conformité de l’information
La documentation des activités de conformité est indispensable. Elle devra couvrir au minimum l’approche globale de gestion de la conformité, les rôles et responsabilités de chacun ainsi que les activités visant à fournir au régulateur national (Commission Vie Privée, en Belgique) un niveau d’assurance raisonnable quant à la conformité réglementaire de l’organisation.
Ces différents points feront l’objet d’une série d’articles spécifiques proposée par les consultants de Mielabelo : Data Protection Officer, Privacy Policy, Data Privacy Impact Assessments, Privacy By Design, Fuite de données, Registre de traitement de données, Conscientisation/Sensibilisation, Relation avec des fournisseurs.
Découvrez-nous sur Facebook
Suivez-nous sur Twitter
Retrouvez-nous sur LinkedIn
Régional-IT est affilié au portail d’infos Tribu Médias.