annuler
Affichage des résultats de 
Afficher  uniquement  | Rechercher plutôt 
Vouliez-vous dire : 
BvanDam
New Member

GDPR s'applique à toutes les entreprises (de l'UE ou en dehors de l'UE) qui détiennent des informations d'individus en UE. Pour celles en dehors de l'UE, il s'agit par exemple des informations des contacts chez leurs clients.

À l'approche de la date d'entrée en application – 25 mai 2018 -, les entreprises doivent contrôler les données personnelles qu'elles conservent, savoir quelles sont les règles applicables à cet égard et qui en sont les responsables. Elles ont notamment besoin de mettre en place des processus métier pour être en mesure de se mettre en conformité à la réglementation.

DPO (Data Protection Officer)

Le DPO est le Responsable de la mise en conformité de GDPR dans les organisations, obligatoire dans certains cas de figure, optionnel dans d'autres. Exemple de mise en place obligatoire :

  • toute administration qui traite des données personnelles
  • toute entreprise privée qui traite de données sensibles (cliniques) ou dont l'activité principale induit le traitement de façon régulière et à grande échelle de données personnelles (opérateurs télécoms, banques).

Quels sont les processus liés à GDPR ?

Il s'agit de processus qui permettent aux organisations de manifester, le cas échéant, auprès de l'autorité nationale compétente – la CNIL (Commission nationale de l'informatique et des libertés) en France – que l'organisation a bien cherché activement à se mettre en conformité à GDPR.

Processus habituels : processus de réponse au

  • droit à l'information : toute personne a le droit de savoir que des données à caractère personnel la concernant font l'objet d'un traitement et de connaître la finalité de ce traitement.
  • droit d'accès : le droit pour toute personne concernée d'obtenir du responsable d'un traitement la confirmation que les données la concernant font l'objet d'un traitement.
  • droit de rectification : droit d'obtenir du responsable du traitement la rectification, sans délai, des données à caractère personnel inexactes ou incomplètes.
  • droit d'opposition : droit de toute personne concernée de s'opposer au traitement des données la concernant (exception faite d'une obligation légale spécifique).
  • droit à l’oubli : La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel.
  • conception d’un système de traitement des données et de leur protection par défaut (en anglais Privacy by design)

Processus non habituels : Data Breach

En cas de violation de données à caractère personnel (par exemple intrusion externe), le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente (la CNIL en France) dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Lorsque la notification à l’autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. La notification doit entre autres décrire la nature de la violation de données à caractère personnel, les conséquences probables de la violation de données à caractère personnel et enfin les mesures prises pour remédier à la violation de données à caractère personnel.

Modélisation des processus GDPR

Il est donc nécessaire de décrire le plus clairement possible, et de façon parfaitement compréhensible pour les acteurs concernés – le DPO, la RH, le département juridique, éventuellement la qualité -, les processus liés à GDPR.

Depuis 2010, il existe un langage universel, adopté par tous les Editeurs en BPM pour décrire et modéliser le plus rigoureusement possible les processus métier. Il s'agit de BPMN (Business Process Model & Notation) 2.0.

Pour ceux qui ne connaîtraient pas bien BPMN, ce qui est particulier à cette norme, c'est que contrairement à ce qu'on pourrait penser, il ne s'agit pas seulement d'un outil de représentation graphique, mais d'un langage avec sa syntaxe et sa sémantique. Dans un outil de représentation graphique – même les plus utilisés sur le marché – le concepteur du schéma prend un élément de la palette qui lui semble approprié et lui donne un sens : par exemple on décide que tel élément représentera un serveur. Dans BPMN, ce n'est pas le concepteur qui donne un sens à l'élément choisi mais le langage lui-même. Ce qui fait que même des schémas (modèles dans le jargon) qui pourraient sembler justes au regard du métier, sont faux au regard de la norme.

Pour les utilisateurs métier, qui démarrent dans cette démarche de modélisation de processus – ce qui pourrait être le cas pour un DPO -, le produit HOPEX Business Process Analysis dispose d’une fonctionnalité Easy Diagramming, permettant à l'utilisateur d'exprimer sa problématique en termes métier, sous forme d'un tableau, et l'outil le traduit automatiquement en un modèle BPMN. Qu'il faudra vraisemblablement ensuite peaufiner avec la palette complète d'éléments BPMN.

En tant que partenaire MEGA, nous proposons des formations « Modéliser efficacement des processus liés à GDPR » avec HOPEX Business Process Analysis.