Voici ce qu’il faut prendre en compte pour démontrer votre engagement dans une stratégie de conformité RGPD.
Certes, il est bien tard pour réagir à quelques semaines de l’échéance du 25 mai sur la compliance au RGPD-GDPR, mais comme le règlement européen est un cadre auquel les entreprises doivent se conforter, elles doivent être capables de démontrer leur engagement et les premières actions menées sur cet engagement dans une stratégie de conformité RGPD.
Comprendre quelles données seront affectées par le RGPD
Les données personnelles du règlement général européen sur la protection des données renvoient aux données personnelles à protéger qui comprennent :
- Données d’identité (nom, prénom, date de naissance, téléphone, adresse, etc.)
- Informations de base telles que les numéros d'identification, les adresses, etc.
- Données Web telles que les adresses IP et les cookies
- Données de santé et génétiques
- Race et ethnie
- Opinions politiques
- Orientation sexuelle
Une fois que vous avez compris quelles données doivent être protégées, vous pouvez vous assurer que les systèmes construits autour de ces données sont conformes aux exigences RGPD.
Nommer les responsables de la conformité continue du RGPD
La conformité GDPR exige que les entreprises aient un DPO, un délégué à la protection des données, lorsqu'elles traitent ou stockent de grandes quantités de données européennes (même si cette définition reste floue), lorsqu’elles « surveillent régulièrement les personnes concernées » ou lorsqu’elles sont une autorité publique. Cependant, certaines de ces dernières, telles que les forces de l'ordre, peuvent être exemptées de nommer un DPO.
Vous aurez également besoin d'un contrôleur de données, quelqu'un qui détermine comment les données de l'entreprise sont traitées et pourquoi elles sont traitées. Ils devront en particulier s'assurer que tous les tiers sont conformes au RGPD...
S’assurer que vos fournisseurs tiers se conforment au RGPD
Comme avec la plupart des conformités réglementaires, il ne vous incombe pas seulement d'être conforme au RGPD. Les organisations doivent montrer qu'elles sont conformes en tant que contrôleurs de données, ainsi que sur tous les processus de données avec lesquelles elles travaillent. Ce qui peut impliquer de définir les responsabilités de chaque organisation dans la chaîne d'approvisionnement, depuis l'hébergeur jusqu'au fournisseur de SaaS, et au fournisseur de cloud. Chacun doit être en mesure de démontrer la conformité aux règles de signalement des violations de données sous RGPD.
Il peut être nécessaire de réviser les contrats de confidentialité et de responsabilité des données pour répondre à ces exigences. Si vous ou votre fournisseur est victime d'une violation de données, tout le monde doit savoir comment réagir de manière appropriée conformément au RGPD. Les organisations doivent éventuellement examiner leurs fournisseurs du point de vue de la sécurité de l'information.
Les organisations doivent également être en mesure d'expliquer clairement à leurs clients comment leurs données sont stockées et traitées. Les équipes de gestion des risques informatiques et de gouvernance devront comprendre exactement comment les données du client sont traitées, stockées et utilisées afin qu'elles puissent à leur tour l'expliquer au client. Cela peut signifier une révision des contrats clients, qui peut aller d'un accord de confidentialité entièrement signé à l'accord de clic "J'accepte les termes et conditions" sur votre site.
Purger les données de n'importe qui à sa demande
Le RGPD exige que les entreprises aient la possibilité de purger les données d'un individu à leur demande. C'est ce qu'on appelle le « droit à l'oubli ». Selon Solix, 66 % des entreprises reconnaissent qu'elles ne sont pas certaines de pouvoir définitivement détruire les données. Elles doivent repenser et traiter leur politique de destruction de données.
Attention aux appareils mobiles et à leur plate-forme
De plus en plus d'organisations travaillent avec des plates-formes et des appareils mobiles. Cela se traduit par un ensemble de protocoles de sécurité des données supplémentaires qui doivent être traités avec la conformité RGPD. Si vos clients peuvent se connecter à votre application via un appareil mobile, les données stockées devront également être compatibles. Ce qui peut se révéler difficile à appliquer lors de l'utilisation non autorisée d'applications par les employés.
Mettre en place un processus de conformité continue
Toute organisation connue pour sa forte adhésion à la réglementation comprend qu’il ne s’agit pas d’une case à cocher à marquer une fois par an et à oublier. La technologie et les activités évoluent constamment, et les politiques de sécurité devraient refléter ces changements. Une nouvelle application peut nécessiter d'être compatible RGPD. L’arrêt d’une application legacy ? Comment allez-vous migrer, détruire ou archiver les données qui y sont associées pour rester en conformité ? La création d'un plan continu d'évaluation des risques et la prise de mesures pour apporter des améliorations aux vulnérabilités ou aux faiblesses contribueront grandement à renforcer la conformité au RGPD et à le maintenir.
Image d’entête 493240848 @ iStock Jane_Kelly