Le RGPD remplace la directive sur la protection des données de 1995 (directive 95/46 / CE), et le nouveau règlement impose une augmentation substantielle des exigences, reflétant les changements technologiques majeurs au cours des deux dernières décennies et les préoccupations croissantes concernant la vulnérabilité des données personnelles.

S'il est intéressant de noter que les amendes pour non-conformité entre entreprises peuvent atteindre jusqu'à 4% du chiffre d'affaires mondial annuel d'une organisation - environ 480 millions de dollars pour l'entreprise moyenne cotée au Dow Jones - il est également important de ne pas laisser la peur et l'incertitude assombrir le planification et prise de décision autour du RGPD . Les différends internes sur les contrôles les plus pratiques, où diriger les ressources et qui sera tenu responsable de la conception et de la gestion du programme de conformité ne feront qu'ajouter à la complexité.

Incorporer les diverses perspectives des principales parties prenantes

Dans ce contexte, la coopération entre les dirigeants des unités d'affaires est essentielle au succès de tout effort visant à concevoir et à mettre en œuvre une initiative de conformité efficace. En particulier, les fonctions juridiques, de sécurité informatique, de confidentialité et de gouvernance de l'information doivent toutes être étroitement alignées à mesure que le processus passe des phases de planification, de cadrage et de conception à la mise en œuvre et à la gestion continue du programme.

La conformité devra englober les systèmes informatiques, la dotation en personnel, les politiques et les contrats, mais les organisations doivent éviter le piège de se fier exclusivement à l'expertise informatique. Il est impératif que les créateurs de programmes de conformité au RGPD réussis intègrent les points de vue des principales parties prenantes de l'organisation.

Adaptez la conception de la solution à votre profil de risque unique

Outre la promotion de la coopération et de la collaboration entre les parties prenantes et les unités commerciales, comment les entreprises devraient-elles réagir? Une approche mesurée est probablement la meilleure pour la plupart des organisations. Il est essentiel de comprendre où se trouvent les plus grands risques GDPR de votre entreprise. Commencez par examiner les situations dans lesquelles votre entreprise collecte et / ou traite des données personnelles pour des consommateurs basés dans l'UE. Si l'activité principale de votre entreprise consiste à traiter de telles informations, votre risque sera bien supérieur au risque pour les organisations engagées principalement dans des transactions B2B et ne commercialisant pas directement des produits auprès des consommateurs.

Si vous établissez des protocoles d'enregistrement des activités de traitement comme l'exige le RGPD, vous serez en mesure d'identifier les lacunes de sécurité et de processus qui nécessiteront une correction. Les modèles et méthodologies axés sur les fournisseurs, souvent accompagnés de grandes équipes de consultants, sont probablement exagérés et peuvent être mal adaptés aux besoins uniques des organisations individuelles.

Peu d'entreprises ont besoin de solutions massives, coûteuses et de classe mondiale. Développez plutôt une approche logique adaptée au profil de risque unique de votre organisation. Il est tout à fait possible, et tout à fait pratique, pour la plupart des organisations de distiller la conformité au RGPD en un ensemble de composants de base exploitables tout en tirant parti des capacités de protection des données et des processus de gestion existants.

Prioriser les exigences de base

Jetons un coup d'œil aux nouvelles exigences et restrictions qui devraient être des priorités dans la plupart des programmes de conformité. En vertu du nouveau règlement, les entreprises doivent:

• Identifier et documenter clairement toutes les activités liées au traitement des informations personnelles des personnes concernées de l'UE. Cela doit inclure l'établissement d'une finalité légale pour chaque activité de traitement.
• Assurez-vous de fournir un avis adéquat aux personnes concernées à chaque moment où les données personnelles sont collectées, en les informant des données collectées et en indiquant exactement comment elles sont traitées.
• Soyez prêt à répondre aux demandes d'accès des personnes concernées (DSAR) et à d'autres affirmations de droits par des résidents de l'UE. Le RGPD impose un délai de 30 jours pour répondre à une demande.
• Développer un processus pour mener des évaluations d'impact sur la vie privée - une analyse formelle de la protection des données et des impacts sur les droits individuels à la vie privée - avec l'introduction de tout nouveau processus ou système commercial.
• Protéger les données personnelles transférées en dehors de l'UE via l'adéquation, le consentement, des règles d'entreprise contraignantes ou d'autres dispositions contractuelles.
• Examiner les contrôles d'accès, le cryptage, la pseudonymisation et les mesures de sécurité techniques pour protéger les informations personnelles sous le contrôle de l'entreprise.
• Informer une autorité de protection des données de l'UE dans les 72 heures d'un incident de sécurité qui compromet les informations personnelles d'un citoyen de l'UE.
• Nommer un délégué à la protection des données chargé du suivi régulier et systématique des efforts de protection des données, ainsi que de l'éducation et de la formation internes et des audits de conformité. Cette personne sera également responsable des communications entre l'entreprise et les autorités de surveillance GDPR, ainsi que des communications avec les personnes concernées. Cette exigence s'applique à toutes les organisations qui possèdent des données particulièrement sensibles, ou qui traitent et / ou stockent de grands volumes de données personnelles de l'UE, que les sujets soient des employés ou des personnes extérieures à l'organisation.

Comprendre les étapes de l'élaboration d'un plan défendable

Tout d'abord, passez en revue les nouvelles réglementations et assurez-vous que votre équipe de parties prenantes est alignée sur les définitions et interprétations clés.

Ensuite, créez une carte détaillée des données de votre organisation. Vous devrez avoir une compréhension approfondie de la manière dont toutes les données personnelles de l'UE transitent par vos systèmes, de l'endroit où elles sont stockées et de qui en a le contrôle. Nous vous recommandons de documenter les activités de traitement en utilisant des outils d'enquête automatisés, mais également en utilisant les contributions des parties prenantes internes. Il est essentiel de tenir compte de tous les fournisseurs tiers dans cet exercice de cartographie. Au fur et à mesure que vous avancez, votre équipe doit examiner rigoureusement les politiques de conservation des données pour les sources de données structurées telles que les systèmes CRM, les dossiers du personnel, les bases de données marketing, etc. De nombreuses organisations conservent bien plus de données personnelles que ne le justifie la valeur commerciale de le faire.Les entreprises voudront également identifier et documenter les activités de traitement à l'aide d'outils d'enquête automatisés et des contributions formelles des parties prenantes pour identifier les données personnelles de l'UE et cartographier les emplacements des types de données protégés.

Dans le cadre de ce processus, assurez-vous d'identifier toutes les sources de données non structurées telles que les e-mails. En ce qui concerne le courrier électronique, les entreprises voudront prendre des mesures pour sensibiliser les utilisateurs individuels aux risques associés à la conservation et au partage des données à caractère personnel des sujets de l'UE, et aux conséquences potentielles pour les entreprises et les particuliers lorsque ces informations ne sont pas rigoureusement protégées. De nombreuses entreprises voudront envisager le cryptage, la pseudonymisation et / ou la surveillance des e-mails pour renforcer les protocoles de sécurité.

Après la cartographie, il est temps d'élaborer un plan écrit complet. Nous exhortons les organisations à considérer la planification de la conformité au RGPD comme une opportunité de revoir en profondeur la gamme complète de leurs contrôles de sécurité existants en ce qui concerne les données personnelles, et d'identifier les lacunes et les faiblesses. Cela comprend l'examen minutieux des fonctions telles que les contrôles d'accès, les correctifs et la gestion des vulnérabilités. Le plan doit également tenir compte des capacités de détection des incidents et de réponse. N'oubliez pas non plus de passer en revue les contrats des fournisseurs et autres contrats commerciaux pour la conformité au RGPD et de négocier rapidement de nouvelles conditions, y compris les accords de traitement de données nécessaires.

Notez que les nouvelles exigences de rapport du RGPD incluent une disposition exigeant que les organisations fournissent aux régulateurs une notification d'une violation dans les 72 heures. Si vous ne disposez pas déjà d'un plan détaillé pour la réponse aux incidents, vous devrez développer un processus défini qui explique exactement comment les parties prenantes internes seront notifiées et par qui, qui contactera le régulateur et comment, et quand et quoi dire. les clients. Encore une fois, les détails de ces protocoles et d'autres sont difficiles à normaliser dans diverses organisations et dépendront dans une large mesure du profil de risque unique de votre entreprise.

Pour avoir une compréhension plus complète des risques potentiels, de nombreuses entreprises trouveront utile de mener une étude d'impact sur la vie privée (PIA). Il s'agit d'un processus formel pour évaluer la capacité d'une organisation à répondre aux exigences légales, réglementaires et politiques en matière de confidentialité, identifier et évaluer les risques potentiels liés aux données personnelles et proposer des mesures spécifiques pour gérer ces risques. L'embauche d'un professionnel certifié de la confidentialité pour examiner la documentation existante et recommander des politiques nouvelles ou supplémentaires peut également accélérer le processus de planification.

La conformité nécessite également que vous créiez un processus pour répondre aux demandes des personnes concernées de l'UE d'accéder, de modifier ou de supprimer leurs informations personnelles. Pour de nombreuses organisations, il peut être judicieux de remplir cette obligation en faisant appel à un tiers qualifié plutôt qu'en imposant une charge supplémentaire au personnel interne.

Enfin, un élément essentiel - et souvent négligé - d'un programme de conformité efficace est l'éducation et la formation des employés. Vous devez vous assurer que les employés ont une compréhension claire des obligations et des risques de l'entreprise par rapport à la réglementation GDPR. Organisez des séances d'information tout au long du processus de planification Développez et mettez en œuvre un programme de formation sur la confidentialité adapté à vos systèmes d'information et de sécurité, à votre profil de risque et à la culture de votre entreprise. Et assurez-vous que tout le monde participe.