dix étapes faciles que toutes les organisations devraient suivre
La législation relative à la protection des données n’a pas fait l’objet d’une mise à jour importante depuis que l’UE a adopté une législation en 1995 – six ans seulement après la naissance du World Wide Web. Mais le PIBR est sur le point de bouleverser la situation.
Aujourd’hui, 23 ans plus tard, la nouvelle loi – connue sous le nom de Règlement général sur la protection des données – remplacera cette Directive sur les personnes âgées le 25 mai, dans une démarche qui, selon le bureau du commissaire à l’information du Royaume-Uni, signaux une « évolution » plutôt qu’une « révolution » pour la protection des données.
Le GDPR vise à renforcer et à unifier la législation sur la protection des données à l’ère numérique. Cela signifie que toute organisation – grande ou petit – le traitement ou le contrôle des données dans l’Union européenne doit être conforme à la législation, qui sera transposée dans le droit national de chaque État membre. Brexit ne change pas cette réalité.
Les organisations qui commettent des infractions graves – telles que l’omission répétée de demander le consentement du client pour le traitement des données – doivent sont passibles d’amendes pouvant atteindre 20 millions d’euros (17,7 millions de livres sterling) ou 4 % de leur revenu annuel mondial, le montant le plus élevé étant retenu.
Mais malgré le ton alarmiste de la GDPR provenant de vendeurs opportunistesPour de nombreuses organisations, le meilleur conseil est de rester calme et de continuer. La plupart des organisations traitent déjà des données relatives aux citoyens européens et sont tenues de se conformer à la directive de 1995 sur la protection des données. Cela signifie que l’infrastructure nécessaire pour traiter les données relatives aux citoyens européens est déjà largement en place.
Le GDPR est l’occasion d’effectuer un audit de qualité pour se débarrasser des mauvaises pratiques et des procédures inappropriées.
Ce que vous devez savoir
-
Si votre organisation est une autorité ou un organisme public, ou si vous traitez des données sensibles à grande échelle, ou si le traitement des données est au cœur de vos opérations impliquant un « contrôle régulier et systématique », vous devrez alors engager un responsable de la protection des données (DPD). Le DPD doit être indépendant et doit rendre compte directement à l’encadrement supérieur. Conseil : créez une unité de protection de l’information (UPI) où les experts juridiques et les spécialistes de la sécurité de l’information du département informatique peuvent travailler ensemble.
-
Aidez le DPD à gérer une « audit des actifs d’information”. En d’autres termes, établissez une carte de vos données afin de déterminer quel service a accès à quelles données et dans quel but. Assurer une bonne communication entre l’UIP et toutes les fonctions internes, en particulier l’informatique et le marketing. Essayez de voir le DPD comme un personnage qui permet à une organisation de fonctionner, plutôt que comme un simple responsable de la conformité. Le DPD peut vous aider à adopter « privacy-by-designLes principes de l’approche « tout ou rien » sont appliqués lors du développement de nouvelles applications et de nouveaux services pertinents pour vos clients.
-
Une fois que vous aurez terminé l’audit des données, le DPD vous aidera à trouver les « base juridique » pour le traitement dans chaque cas, et adapter les procédures en conséquence. Exécuter « les évaluations d’impact sur la protection des données » chaque fois que le traitement des données est considéré comme très risqué.
-
Faites attention à la manière dont vous demandez l’autorisation de traiter les données de quelqu’un. Laissez l’UIP réviser votre « avis et consentementLes formulaires « . Expliquez en termes simples aux clients quelles données vous collectez et comment vous utilisez ces informations. Donnez aux gens un moyen facile de choisir que leurs données soient collectées et stockées, et de vérifier l’exactitude de leurs informations. Et n’oubliez pas d’exercer leurs droits : accès, rectification, effacement, limitation du traitement et droit d’opposition. Trouvez des moyens qui permettent aux personnes d’accéder à leurs données sous forme numérique sous « portabilité des donnéesdroits « .
-
Laissez l’UIP réviser vos procédures internes et externes de gestion et de sécurité de l’information. Vous devez vous assurer que vos fournisseurs de services informatiques – tels que ceux qui proposent des services en nuage – sont conformes à la norme GDPR et que des normes élevées de sécurité de l’information sont adoptées tout au long de votre chaîne d’approvisionnement en données.
-
Réviser les accords de transfert et de partage des données. Utilisez « des règles d’entreprise contraignantes » le cas échéant. Si vous opérez dans plusieurs pays de l’UE, assurez-vous de savoir qui est votre autorité principale en matière de protection des données ; vous pouvez demander de l’aide à ce sujet au conseil consultatif indépendant sur la protection des données, le Groupe de travail Article 29.
-
Formez vos employés au traitement approprié des données. Du service d’assistance à la clientèle, au personnel des RH, jusqu’à l’unité de veille stratégique, tous les employés doivent comprendre quelques leçons de base sur la sécurité de l’information et les droits des personnes concernées contenus dans le GDPR.
-
Tenez un registre de toutes les décisions que vous prenez et soyez prêt à expliquer et à fournir des preuves de leur conformité à tout moment. Soyez prêt pour le lendemain du jour où votre organisation a subi une violation de données. Vous aurez 72 heures avant de devoir en informer l’autorité de protection des données et les médias. N’oubliez pas que la GDPR vise à gérer les risques et à favoriser une culture de la responsabilité ; si elle est correctement mise en œuvre, elle vous aidera à protéger votre réputation et vos précieuses informations.
-
N’oubliez pas que le GDPR n’est pas un choix entre la vie privée ou l’innovation : c’est une question de vie privée et d’innovation. Voyez-y une occasion de cesser de stocker des données pour un usage futur et de mieux comprendre quelles données vous devez conserver. Le GDPR est une opportunité de réduire le risque d’être victime d’un scandale de données causé par de mauvaises pratiques en matière de protection de la vie privée.
-
Favoriser le dialogue au sein de votre secteur afin d’identifier les meilleures pratiques et de fixer de nouvelles normes. Demandez conseil à votre autorité de protection des données et laissez votre UIP apprendre des autres et partager leurs réalisations et leurs préoccupations. GDPR encourage la création de les codes de conduite et les programmes de certification. La GDPR vise à améliorer les normes industrielles – vous n’êtes certainement pas le seul.
Les organisations ne devraient pas craindre le PIBR alors que l’horloge tourne au 25 mai. Prenez les bonnes mesures pour développer vos cadres informatiques existants – le reste devrait être un jeu d’enfant.