RGPD : constituer un référentiel est un axe stratégique pour les entreprises

Les réglementations européennes et françaises fixent désormais précisément les droits et devoirs qui incombent à toute organisation (usages, traçage, accès aux données, conditions de conservation) en matière de données nominatives enregistrées dans leurs bases de données.

Le RGPD (Règlement Général sur la Protection des Données) constitue le fer de lance de ces nouvelles dispositions immédiatement applicables. Celui-ci impose à tout organisme public comme privé, de rendre auditables les mesures prises en matière de protection des données personnelles, en documentant à la fois le niveau de conformité ciblé (démarches en cours) et atteint (mesures prises en entrée en vigueur).

Dans ce contexte, un nouvel homme-clé est né : le DPO (Data Protection Officer). Ce dernier est le garant de la mise en conformité de l’entreprise et doit piloter le projet de bout en bout. En liaison avec les services qui déclarent les traitements nominatifs réalisés dans l’ensemble des applications informatiques exploitées sous leur responsabilité, tout DPO doit ainsi mettre en place un mode de gestion industriel pour mener à bien sa mission.
A priori évident, un tel processus est particulièrement complexe et nécessite de s’appuyer sur une approche pragmatique et traçable. L’objectif est simple : modéliser les traitements de suivi et la production des registres pour l’ensemble des organismes dont le data Protection Officer a la charge.

Mener à bien sa démarche de mise en conformité

Une démarche structurée est donc nécessaire, et notamment grâce au digital. En voici un exemple. Concrètement, une première étape consisterait en une déclaration, par les agents et via des formulaires adaptés, des traitements susceptibles de collecter et exploiter des données à caractère personnel. 

Un circuit de validation librement modélisé pourrait ensuite acheminer chaque déclaration vers le DPO qui matérialiserait son accord et produirait les registres réglementaires adaptés à chaque organisation dont il a la charge, sur la base de modèles préalablement constitués. Chaque agent disposerait alors de fonctions lui permettant de suivre les traitements et d’accéder aux registres générés. Cet exemple démontre clairement la complexité de mener à bien une démarche de mise en conformité de manière globale faute de mettre en place des processus de gestion structurés.

Ce que nous pouvons conclure de ces différents éléments est que la mise en conformité souvent présentée uniquement sous l’angle du conseil ne suffit pas.

En effet, faute de mettre en place des processus de gestion collaboratifs et dédiés, il sera difficile de maintenir à jour son référentiel, de le faire évoluer et d’assurer sa mise en conformité. Attention donc à bien prendre la hauteur nécessaire pour s’assurer de la pertinence de sa démarche et de la viabilité de son approche pour être conforme aux directives du RGPD

Philippe Leroy

Recent Posts

Covid-19 et protection des données : c’est le moment d’un bilan de santé de vos pratiques

Avec l’explosion soudaine du nombre de personnes travaillant à domicile, comment gérer les imprévus en…

1 mois ago

Télétravail : 5 conseils pour protéger les données

Effectuer soigneusement les sauvegardes et stocker en toute sécurité devrait être désormais de l’ordre du…

2 mois ago

Choisir un ERP en 2020 : sur quels critères ?

Depuis plus de 30 ans, les logiciels ERP se sont largement diffusés au sein des entreprises. Ces logiciels de…

6 mois ago

La prévention cyber, qu’en est-il ?

Rappelez-vous du bon vieux temps. Est-ce que vous vous souvenez de l’époque où de simples…

8 mois ago

Disque dur : les critères pour faire le bon choix

Le volume des données continue de croître de manière effrénée et les difficultés que rencontrent…

9 mois ago

Publicité locale : une nouvelle frontière inattendue pour le machine learning

Pour relever le défi technique et scientifique de l’optimisation de campagnes multilocales il faut savoir…

1 année ago