annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 

2019, enfin l’année de la protection des données ? Retour sur la conférence IAPP

IAPP Protection des données.jpg
1380
0

Sortir du brouillard de la RGPD

 

De toute évidence, quelques zones d’ombre persistent encore dans la mise en application du RGPD :

  • À quel niveau de profondeur faut-il effectuer le remplissage du registre des traitements ?
  • Comment gérer de manière efficace la mise à jour des accords contractuels ?
  • Quel profil doit avoir le responsable de la protection de données ?

Un grand nombre de questions concernaient des problématiques très opérationnelles, comme la manière de documenter au mieux le registre de traitement, d'imposer des clauses contractuelles strictes de protection des données aux tiers, ou encore de répondre efficacement et en temps opportun aux demandes des personnes concernées.

Certaines réponses ont été inspirantes, d'autres n'ont pas réussi à faire la lumière sur des problématiques bien connues, que personne, pas même les autorités de contrôle, n'ont été capable de soulager grâce à des solutions pratiques.

Les principaux cas de figures évoqués ont été la mise à jour des accords contractuels et la gestion des audits. Beaucoup de participants ont alors partagé leurs difficultés liées à ces problématiques : litiges avec les fournisseurs, intégration des clauses RGPR dans les accords existants.

Ces sujets sont les plus difficiles à appréhender pour les organisations, puisqu’elles doivent faire face à la charge d’assurer la conformité de toute la chaîne d’approvisionnement.

 

Aborder efficacement la mise en conformité

 

À cet égard, une séance intéressante a été organisée par Aurelie Banck Directrice chez Lexing, Alain Bensoussan avocat à la Cour d'appel de Paris et William O'Connell, VP, Chief Business Security Officer chez ADP, au cours de laquelle les intervenants ont partagé quelques idées et bonnes pratiques pour aborder efficacement le problème des accords contractuels avec des tiers.

Pour aider les entreprises à mieux traiter ce point, M. O’Connell a suggéré de hiérarchiser la priorité de traitement en se basant sur le niveau de risque de chaque fournisseur. Un exemple de résultat lié à cet exercice a été partagé avec les participants de la conférence :Schema IAPP.JPG

À partir de cette évaluation des risques, M. O’Connell a mis en évidence que, dans le cadre de la mise à jour des accords contractuels, il est essentiel de se concentrer sur les risques « critiques » & « urgents » (2,3% du total des risques).

Ce faisant, l’organisation pourra d’abord réduire le périmètre d’intervention, et ainsi limiter le nombre de fournisseurs avec lesquels il faudra potentiellement mener un audit, afin de vérifier leur état de mise en conformité au RGPD.

Ce qui a été clairement dit lors de chaque session, c'est que le RGPD n'est pas une chose aisée. Il est essentiel de se concentrer sur la réduction des risques existants et les points de non-conformités. Néanmoins, il ne faut surtout pas oublier de mettre en place des procédures de gestion efficace du système de conformité, afin d’assurer la tenue de toutes les mesures implémentées.

Sur ce dernier point, le responsable de la conformité d’un groupe multinationale est intervenu en mettant en exergue le fait que les solutions logicielles basées sur des questionnaires ne résoudront pas les besoins commerciaux à long terme.

Cependant, les problématiques de conformité liées à la gestion des sous-traitants nécessitent l’utilisation d’un outil informatique puissant, pour gérer efficacement la chaine des fournisseurs et leur niveau de conformité au RGPD. Pour appuyer cela, nous pouvons citer les propos de l’autorité française, la CNIL, qui a affirmé poursuivre les entreprises principalement pour des problèmes de sécurité, en soulignant que 60 % étaient causés par des prestataires de services.

 

Un travail de longue haleine !

 

Beaucoup d'autres contributions ont été partagées avec le public, mais il est intéressant de noter que tous ont en commun trois concepts clés que chaque organisation est fortement invitée à suivre :

  • La conformité au RGPD n’est pas un exercice ponctuel. Il nécessite une maintenance et un suivi continus ;
  • L’exhaustivité et la solidité du registre des activités de traitement sont cruciales pour la réussite globale du projet de conformité au RGPD ;
  • L’implication du service IT est cruciale.

Lors du dernier jour, l’autorité de contrôle en a profité pour partager son point de vue sur de nombreux sujets abordés lors de la conférence. Le message à retenir a été, qu’il est très important de se lancer dans un projet de mise en conformité, pour toutes les organisations et même les plus en retard, et cela, le plut tôt possible.

En dépit des difficultés initiales, tous les initiés sont conscients que 2019 verra plusieurs directives et bonnes pratiques publiées par le Conseil européen de la protection de la vie privée et les autorités nationales, ce qui contribuera à clarifier tous les aspects du RGPD et à rendre l’adoption de la nouvelle réglementation beaucoup plus fluide et efficace.

Cela étant, il n’est pas difficile d’imaginer que la protection des données devienne un sujet clé pour les organisations internationales en 2019 et les années suivantes. Les individus ne sont plus favorables à une gestion de leurs données personnelles qui ne serait pas transparente. La conformité au RGPD apparait alors comme un avantage concurrentiel clair et non plus comme un coût pour l’entreprise.

 

1380
0
Comment

Sortir du brouillard de la RGPD

 

De toute évidence, quelques zones d’ombre persistent encore dans la mise en application du RGPD :

  • À quel niveau de profondeur faut-il effectuer le remplissage du registre des traitements ?
  • Comment gérer de manière efficace la mise à jour des accords contractuels ?
  • Quel profil doit avoir le responsable de la protection de données ?

Un grand nombre de questions concernaient des problématiques très opérationnelles, comme la manière de documenter au mieux le registre de traitement, d'imposer des clauses contractuelles strictes de protection des données aux tiers, ou encore de répondre efficacement et en temps opportun aux demandes des personnes concernées.

Certaines réponses ont été inspirantes, d'autres n'ont pas réussi à faire la lumière sur des problématiques bien connues, que personne, pas même les autorités de contrôle, n'ont été capable de soulager grâce à des solutions pratiques.

Les principaux cas de figures évoqués ont été la mise à jour des accords contractuels et la gestion des audits. Beaucoup de participants ont alors partagé leurs difficultés liées à ces problématiques : litiges avec les fournisseurs, intégration des clauses RGPR dans les accords existants.

Ces sujets sont les plus difficiles à appréhender pour les organisations, puisqu’elles doivent faire face à la charge d’assurer la conformité de toute la chaîne d’approvisionnement.

 

Aborder efficacement la mise en conformité

 

À cet égard, une séance intéressante a été organisée par Aurelie Banck Directrice chez Lexing, Alain Bensoussan avocat à la Cour d'appel de Paris et William O'Connell, VP, Chief Business Security Officer chez ADP, au cours de laquelle les intervenants ont partagé quelques idées et bonnes pratiques pour aborder efficacement le problème des accords contractuels avec des tiers.

Pour aider les entreprises à mieux traiter ce point, M. O’Connell a suggéré de hiérarchiser la priorité de traitement en se basant sur le niveau de risque de chaque fournisseur. Un exemple de résultat lié à cet exercice a été partagé avec les participants de la conférence :Schema IAPP.JPG

À partir de cette évaluation des risques, M. O’Connell a mis en évidence que, dans le cadre de la mise à jour des accords contractuels, il est essentiel de se concentrer sur les risques « critiques » & « urgents » (2,3% du total des risques).

Ce faisant, l’organisation pourra d’abord réduire le périmètre d’intervention, et ainsi limiter le nombre de fournisseurs avec lesquels il faudra potentiellement mener un audit, afin de vérifier leur état de mise en conformité au RGPD.

Ce qui a été clairement dit lors de chaque session, c'est que le RGPD n'est pas une chose aisée. Il est essentiel de se concentrer sur la réduction des risques existants et les points de non-conformités. Néanmoins, il ne faut surtout pas oublier de mettre en place des procédures de gestion efficace du système de conformité, afin d’assurer la tenue de toutes les mesures implémentées.

Sur ce dernier point, le responsable de la conformité d’un groupe multinationale est intervenu en mettant en exergue le fait que les solutions logicielles basées sur des questionnaires ne résoudront pas les besoins commerciaux à long terme.

Cependant, les problématiques de conformité liées à la gestion des sous-traitants nécessitent l’utilisation d’un outil informatique puissant, pour gérer efficacement la chaine des fournisseurs et leur niveau de conformité au RGPD. Pour appuyer cela, nous pouvons citer les propos de l’autorité française, la CNIL, qui a affirmé poursuivre les entreprises principalement pour des problèmes de sécurité, en soulignant que 60 % étaient causés par des prestataires de services.

 

Un travail de longue haleine !

 

Beaucoup d'autres contributions ont été partagées avec le public, mais il est intéressant de noter que tous ont en commun trois concepts clés que chaque organisation est fortement invitée à suivre :

  • La conformité au RGPD n’est pas un exercice ponctuel. Il nécessite une maintenance et un suivi continus ;
  • L’exhaustivité et la solidité du registre des activités de traitement sont cruciales pour la réussite globale du projet de conformité au RGPD ;
  • L’implication du service IT est cruciale.

Lors du dernier jour, l’autorité de contrôle en a profité pour partager son point de vue sur de nombreux sujets abordés lors de la conférence. Le message à retenir a été, qu’il est très important de se lancer dans un projet de mise en conformité, pour toutes les organisations et même les plus en retard, et cela, le plut tôt possible.

En dépit des difficultés initiales, tous les initiés sont conscients que 2019 verra plusieurs directives et bonnes pratiques publiées par le Conseil européen de la protection de la vie privée et les autorités nationales, ce qui contribuera à clarifier tous les aspects du RGPD et à rendre l’adoption de la nouvelle réglementation beaucoup plus fluide et efficace.

Cela étant, il n’est pas difficile d’imaginer que la protection des données devienne un sujet clé pour les organisations internationales en 2019 et les années suivantes. Les individus ne sont plus favorables à une gestion de leurs données personnelles qui ne serait pas transparente. La conformité au RGPD apparait alors comme un avantage concurrentiel clair et non plus comme un coût pour l’entreprise.