Dans un livre blanc, Iron Mountain revient sur la mise en œuvre du Règlement général pour la Protection des Données (RGPD), plus d’un an après son entrée en vigueur.
Alors que les premières sanctions liées au RGPD sont tombées, beaucoup d’entreprises sont encore en retard dans la mise en application de cette réglementation. Pourtant, les risques associés ne sont pas à négliger, en premier lieu pour les PDG.
Pour aider les entreprises à se mettre en conformité, Iron Moutain propose une série de bonnes pratiques.
Formaliser l’engagement de la direction
La première étape, essentielle, est de formaliser l’engagement de la direction. En effet, c’est le PDG qui est responsable des traitements. Il représente donc l’entreprise au pénal en cas d’action en justice, ceci qu’il s’agisse d’une PME ou d’une grande entreprise.
Communiquer sur le contenu du RGPD
Il faut ensuite diffuser les éléments d’information du règlement au sein de l’entreprise, de façon claire et compréhensible par tous, afin de sensibiliser les collaborateurs.
Former les collaborateurs
Une fois l’étape de communication franchie, l’entreprise peut alors entreprendre la formation de ses collaborateurs et veiller à mettre à jour les différents documents évoquant les traitements sur les données (contrats, documents RH).
Prévoir un registre des traitements
L’entreprise doit également maintenir un registre des activités de traitement, une obligation pour le responsable des traitements. En en cas de traitements nécessitant un suivi régulier ou de traitements big data, elle doit désigner un Data Protection Officer (« DPO »), avec la possibilité de recourir à un DPO externe si besoin.
Faire des analyses d’impact sur la vie privée
L’entreprise doit étudier l’impact sur la vie privée des différents traitements effectués sur les données personnelles de ses clients et collaborateurs.
Prévoir un plan d’audit des traitements
La société doit aussi mettre en œuvre un plan d’audit des traitements, pour s’assurer que ceux-ci restent bien dans le cadre autorisé par la réglementation. Une vigilance particulière s’impose pour les transferts de données en dehors de l’Union Européenne.
Permettre le signalement des violations
L’entreprise doit mettre en place une procédure pour permettre à chacun de signaler des violations de données à caractère personnel.
Se montrer vigilant pour garantir l’exercice des droits
Les sociétés doivent être particulièrement attentives à respecter l’exercice des droits de tout individu sur lequel elles possèdent des données, clients ou collaborateurs, comme le droit à l’oubli.
Suivre la conformité dans le temps
Les entreprises doivent assurer un suivi dans le temps de sa politique générale de protection des données.
Vérifier la conformité des prestataires
Il est important d’évaluer la conformité des prestataires et sous-traitants stratégiques, en particulier ceux qui ont accès aux données de l’entreprise. Les contrats doivent être revus pour intégrer un certain nombre de mentions obligatoires, délimitant les usages autorisés.
Intégrer le « Privacy by design » dans les pratiques
Sur le plan technique, il faut veiller à respecter le RGPD dès la conception de nouveaux services applicatifs, en intégrant le principe de « Privacy by design » dans les pratiques de développement. Ce principe s’applique aussi si l’entreprise fait réaliser des applications par un prestataire ou achète des logiciels tiers : elle doit déterminer le plus tôt possible les données collectées, les traitements, les types de destinataires et la durée de conservation.
Prévoir un plan de sauvegarde des données
La mise en œuvre d’un plan de sauvegarde des données est également incontournable, avec des mesures de protection adaptées pour les données personnelles. L’entreprise est en effet tenue d’assurer une sécurité informatique renforcée, avec obligation, en cas de faille de sécurité, de la notifier à la CNIL dans les 72h et, dans certains cas, aux personnes concernées. Pour le moment, seules 51% des entreprises ont signalé des incidents lors des douze derniers mois, ce qui laisse présager un manque à ce niveau.
Source : livre blanc Iron Mountain
