annuler
Affichage des résultats de 
Afficher  uniquement  | Rechercher plutôt 
Vouliez-vous dire : 
rraiola
Retired

La réglementation impacte directement l’activité mais aussi l’organisation, car elle positionne l’entreprise comme responsable directe des données à caractère personnel qu’elle détient sur les citoyens européens.

MEGA a identifié 5 grands défis organisationnels auxquels les entreprises vont être confrontées dans leur mise en conformité GDPR, ainsi que les différentes actions à mettre en place pour les relever avec succès.

Une checklist pour franchir les différents obstacles vers la conformité GDPR

Défi #1 : Etablir une responsabilité partagée

GDPR impacte toute l’entreprise, mais le plus grand changement concerne sans aucun doute la responsabilité.  Cette responsabilité doit être intégrée de manière globale dans le système mis en place par l’entreprise pour gérer et traiter les données personnelles.

Le principal défi réside ici dans le fait de passer d’une organisation en silos avec peu ou pas d’interactions entre les départements à une organisation qui privilégie une collaboration transversale où chacun a un rôle à jouer dans la mise en place des initiatives assurant la protection des données personnelles. Cela implique un changement de culture et d'état d'esprit, qui nécessite de la part de l’organisation de faire preuve de responsabilité, mais aussi de plus de transparence dans les décisions prises lors des activités de traitement des données personnelles.

Défi #2 : Prendre en compte un champ d’application élargi de la mise en conformité

GDPR élargit la définition des données personnelles à toutes données pouvant être utilisées directement ou indirectement pour identifier une personne. Le règlement resserre également les règles autour de la finalité des traitements, puisque les organisations devront être capables de justifier que la finalité de l’exploitation des données collectées est légitime. En pratique, cela signifie plus de discipline en matière de gestion des métadonnées.

Ces changements conduisent à réaliser une analyse des processus opérationnels, pour déterminer si des données personnelles sont manipulées et si les traitements sont soumis à ce nouveau règlement. À ce jour, nos études démontrent que la plupart des entreprises n'ont pas entrepris une description formelle de leurs processus et n’ont pas les outils appropriés pour effectuer une telle analyse.

Défi #3 : Prioriser les actions de mise en conformité

La mise en conformité GDPR ne s’arrête pas à la date du 25 mai 2018 mais nécessite une revue continue des processus afin de s’assurer qu’ils restent conformes. Il faut également définir les bonnes pratiques en matière de développement de produits ou services.

La priorisation des actions est cruciale car il n'est pas possible de s'attaquer à tous les sujets en même temps. A l’ère du « Big Data » où les entreprises collectent et traitent de grandes quantités de données, la mise en conformité GDPR, peut s’avérer décourageante. Pour les entreprises ayant une visibilité limitée sur leurs données sensibles, cette phase de préparation et priorisation est essentielle. C’est une première étape indispensable pour garantir la réussite du projet pour l’ensemble des parties prenantes dans un projet de mise en conformité GDPR

Défi #4 : Gérer les incidents de violation de données

La règlementation exige que les entreprises soient capables d’identifier et de documenter les incidents de violation de données (avec la date de découverte, la nature, l’origine, les conséquences ou encore les catégories de données concernées) et d’en analyser les causes afin de prendre les mesures correctives adéquates.  

Les entreprises doivent également s’assurer du respect des délais de notification de l’incident depuis la date de découverte. Elles devront transmettre une première notification à la CNIL dans les meilleurs délais à la suite de la constatation d’une violation. Puis, fournir une notification complémentaire dans un délai de 72 heures après la notification initiale.

Défi #5 : Démontrer la conformité

Les entreprises doivent non seulement se conformer au règlement, mais également être capables de démontrer de manière complète et détaillée que toutes les exigences de protection des données personnelles ont été respectées. La notion de preuve prend une place importante dans GDPR.

Il est important de souligner qu'il n'existe pas une approche unique pour démontrer la conformité. La façon dont une organisation la démontre dépend de divers facteurs tels que la nature du traitement, de sa finalité ou des risques associés aux droits et libertés des personnes concernées.

Les responsables de la conformité doivent également être en mesure de produire des rapports complets et mis à jour de ces informations, accessibles à toutes les parties prenantes pour éviter les retards et amendes.

Défi #6 : Protéger les données privées par défaut dès la conception d’un nouveau traitement

L’article 25 de GDPR fait référence à la protection des données dès la conception et par défaut. "Dès la conception" signifie que la protection des données doit être prise en compte tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même. En pratique cela implique que le département informatique doit intégrer la protection des données dans tout le cycle de vie du système ou du processus. "Par défaut" signifie que ne sont traitées que les données personnelles nécessaires au regard de chaque finalité.

Dans notre monde en mutation rapide et constante, les projets peuvent être rapidement mis en œuvre avec finalement très peu de connaissance sur les processus et les systèmes, et la manière dont ils interagissent. Etre capable d’identifier en amont – dans la phase de conception -, les processus et systèmes impliqués et leurs interactions permet de définir l’exposition aux risques et d’avoir une meilleure visibilité pour mettre en place une protection des données dès la conception et par défaut.

Accélérer votre mise en conformité GDPR et devenez un leader de la protection des données

Le succès de votre mise en conformité GDPR réside donc également dans la manière dont vous relèverez ces 5 défis organisationnels. Le processus est à présent en marche, qu’attendez-vous pour agir avant qu’il ne soit trop tard ?