Les réglementations européennes et françaises fixent désormais précisément les droits et devoirs qui incombent à toute organisation (usages, traçage, accès aux données, conditions de conservation) en matière de données nominatives enregistrées dans leurs bases de données.
Le RGPD (Règlement Général sur la Protection des Données) constitue le fer de lance de ces nouvelles dispositions immédiatement applicables. Celui-ci impose à tout organisme public comme privé, de rendre auditables les mesures prises en matière de protection des données personnelles, en documentant à la fois le niveau de conformité ciblé (démarches en cours) et atteint (mesures prises en entrée en vigueur).
Dans ce contexte, un nouvel homme-clé est né : le DPO (Data Protection Officer). Ce dernier est le garant de la mise en conformité de l’entreprise et doit piloter le projet de bout en bout. En liaison avec les services qui déclarent les traitements nominatifs réalisés dans l’ensemble des applications informatiques exploitées sous leur responsabilité, tout DPO doit ainsi mettre en place un mode de gestion industriel pour mener à bien sa mission.
A priori évident, un tel processus est particulièrement complexe et nécessite de s’appuyer sur une approche pragmatique et traçable. L’objectif est simple : modéliser les traitements de suivi et la production des registres pour l’ensemble des organismes dont le data Protection Officer a la charge.
Mener à bien sa démarche de mise en conformité
Une démarche structurée est donc nécessaire, et notamment grâce au digital. En voici un exemple. Concrètement, une première étape consisterait en une déclaration, par les agents et via des formulaires adaptés, des traitements susceptibles de collecter et exploiter des données à caractère personnel.
Un circuit de validation librement modélisé pourrait ensuite acheminer chaque déclaration vers le DPO qui matérialiserait son accord et produirait les registres réglementaires adaptés à chaque organisation dont il a la charge, sur la base de modèles préalablement constitués. Chaque agent disposerait alors de fonctions lui permettant de suivre les traitements et d’accéder aux registres générés. Cet exemple démontre clairement la complexité de mener à bien une démarche de mise en conformité de manière globale faute de mettre en place des processus de gestion structurés.
Ce que nous pouvons conclure de ces différents éléments est que la mise en conformité souvent présentée uniquement sous l’angle du conseil ne suffit pas.
En effet, faute de mettre en place des processus de gestion collaboratifs et dédiés, il sera difficile de maintenir à jour son référentiel, de le faire évoluer et d’assurer sa mise en conformité. Attention donc à bien prendre la hauteur nécessaire pour s’assurer de la pertinence de sa démarche et de la viabilité de son approche pour être conforme aux directives du RGPD
La transformation cloud est un enjeu majeur pour les entreprises, mais elle doit être anticipée…
Même avec un budget serré, de nombreux outils peuvent aider les professionnels de la sécurité…
Voici des recommandations à appliquer dès que possible pour minimiser l'impact d'une attaque de ransomwares.
Si les bouleversements survenus en 2020 nous ont clairement imposé des contraintes incontournables, on peut…
De nouvelles menaces sont particulièrement dangereuses pour les TPE/PME, qui doivent désormais mettre à jour…
Les opérateurs de ransomwares sont de plus en plus organisés avec des systèmes de vente…