Avoir une bonne gouvernance de vos données est un atout !

Avoir une bonne gouvernance de vos données est un atout !

Depuis le 25 mai dernier la CNPD au Luxembourg, tout comme la CNIL en France et les entités étatiques indépendantes préposé à la surveillance de la privacy, peuvent vérifier la mise en conformité des entreprises et les sanctionner. Malheureusement pour de nombreuses organisations, le projet RGPD est loin d’être achevé et pour certains, il n’a pas encore débuté.

Par où et comment démarrer ? quelles sont les bonnes pratiques ? quelles sont les premières étapes en cas de crise ? comment faire l’étude d’impact ? etc.

Plusieurs étapes importantes restent essentielles dans cette mise en conformité du RGPD.

Avant toute chose, il est important de revoir les contrats de sous-traitance. Les entreprises doivent refondre les différents contrats de leurs sous-traitants et vérifier qu’ils respectent correctement les obligations spécifiques en matière de sécurité, tel que la tenue du registre du traitement, la garantie de la sécurité des données traitées, la traçabilité, la transparence, etc. Il est important pour chaque entreprise de rédiger un contrat spécifique à chaque sous-traitant.

De plus, il est important de définir la cartographie des risques. Elle doit être à la fois dynamique et toujours en mouvement. C’est-à-dire que le traitement des données doit être défini par un processus dynamique et plus généralement par un système automatisé. Les entreprises doivent apprendre à gérer leurs données, de manière générale c’est une gestion globale des données. Cette gouvernance des données doit être partagée par tous les services de l’entreprise. Le RGPD apparait comme une opportunité pour mettre en place un processus de gouvernance globale.

Afin de se mettre en conformité, il faut commencer par élaborer une analyse d’impact (PIA) adaptée au contexte de chaque organisation. Cette analyse permet à chaque structure (entreprises ou institutions) de décrire le traitement des données, d’évaluer les risques des droits des personnes concernées (par exemple dans le cas de la mise en place de caméras de vidéosurveillance sur les lieux de travail, l’employeur doit en informer les employés), apporter les preuves du respect des droits du RGPD, etc.

Afin d’être conforme au RGPD, il faut également anticiper la gestion des risques. La mise en place du RGPD concerne autant le juridique, la technique, l’organisationnel que la communication. Les sanctions financières et la réparation de préjudice ont une place importante dans le règlement c’est pourquoi il ne faut pas sous-estimer ce point. Les risques majeurs identifiés à ce jour sont principalement : le manque de préparation du responsable du traitement et du sous-traitant, le manque de coordination, le manque de préparation des équipes externes. Pour éviter ces risques, nous vous conseillons 5 réflexes à entreprendre : il faut faire la qualification juridique des faits, la déclaration d’assurance, l’analyse du contrat de sous-traitance, la gestion des preuves et le dépôt de plaintes.

En matière technique, il faut suivre plusieurs étapes pour gérer les risques : analyser la situation, prendre des mesures d’urgence, documenter chaque intervention, adapter les mesures techniques pour éviter les récidives.

Quant à la partie communication, il faut faire preuve d’empathie, de transparence et évidemment proposer une réparation à la personne victime du préjudice.

Pour finir, il faut se préparer à un éventuel contrôle de la CNPD/CNIL. Ils peuvent en effet, procéder à un contrôle sur place, sur pièces, sur audition ou en ligne. C’est pourquoi en cas de contrôle il faut définir un comité de contrôle RGPD réunissant le DPO (interne ou externe), le DSI, le DJ et le directeur du projet RGPD. Il est important pour chaque organisation de faire en sorte pour que les sanctions (si celle-ci devait être indiqués) soient le moins dommageable pour elle. Etre coopératif et transparent ne fera que faciliter le contrôle.

Si votre entreprise n’a toujours pas débuté ou achevé sa mise en conformité au RGPD, pas de panique. OpenField, expert en la matière, vous offre les conseils et compétences pour vous accompagner dans cette mise en conformité.

Pour connaitre l’approche d’OpenField, contactez d’ores et déjà nos experts.