Dix étapes faciles que toutes les organisations devraient suivre
La législation sur la protection des données n’a pas fait l’objet d’une mise à jour significative depuis que l’UE a adopté sa législation en 1995 – six ans seulement après l’entrée en vigueur de la naissance du World Wide Web. Mais la RGPD est sur le point de faire bouger les choses.
Aujourd’hui, 23 ans plus tard, la nouvelle loi – connue sous le nom de la Règlement général sur la protection des données – remplacera ce directive dépassée le 25 mai dans un mouvement qui, selon le bureau du Commissaire à l’information du Royaume-Uni, signaux une « évolution » plutôt qu’une « révolution » pour la protection des données.
RGPD vise à renforcer et à unifier la législation sur la protection des données à l’ère numérique. Cela signifie que toute organisation – qu’elle soit grande ou petit – le traitement ou le contrôle des données dans l’Union européenne doit être conforme à la législation, qui sera transposée dans les législations nationales de chaque État membre. Brexit ne change pas cette réalité.
Les organisations qui commettent des infractions graves – telles que le refus répété de demander le consentement du client pour traiter des données – s’engagent à des amendes pouvant aller jusqu’à 20 millions d’euros (17,7 millions £) ou 4 % de leur chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Mais malgré le ton alarmiste de RGPD venant de vendeurs opportunistes. Pour de nombreuses organisations, le meilleur conseil à suivre est de rester calme et de continuer. La plupart des organisations traitent déjà des données relatives aux citoyens de l’UE et sont tenues de se conformer à la directive existante de 1995 sur la protection des données. Cela signifie que l’infrastructure nécessaire à la gestion du PIBR est en grande partie déjà en place.
La RGPD est l’occasion de réaliser un audit qualité pour se débarrasser des mauvaises pratiques et des procédures inappropriées.
Ce que vous devez savoir
- Si votre organisation est une autorité ou un organisme public, si vous traitez des données sensibles à grande échelle ou si le traitement des données est au cœur de vos opérations impliquant un » suivi régulier et systématique « , vous devrez alors engager un agent de l responsable de la protection des données (DPD). Le DPD doit être indépendant et relever directement de la direction générale. Conseil : créer une unité de protection de l’information (UPI) où les experts juridiques et les spécialistes de la sécurité de l’information du département informatique peuvent travailler ensemble.
- Aider le DPD à faire fonctionner un » « .vérification de l’actif informationnel”. En d’autres termes, mappez vos données pour déterminer quel service a accès à quelles données et dans quel but. Assurer une bonne communication entre l’UIP et toutes les fonctions internes, en particulier l’informatique et le marketing. Essayez de voir le DPD comme une figure qui permet à une organisation de fonctionner, plutôt que comme un simple responsable de la conformité. Le DPD peut vous aider à adopterprotection de la vie privée dès la conception »au moment de développer de nouvelles applications et de nouveaux services pertinents pour vos clients.
- Une fois que vous aurez terminé l’audit des données, le DPD vous aidera à trouver la » solution appropriée « .base juridique »pour le traitement dans chaque cas, et adapter les procédures en conséquence. Courir « études d’impact sur la protection des données »chaque fois que le traitement des données est considéré comme très risqué.
- Faites attention à la façon dont vous demandez l’autorisation de traiter les données d’une personne. Laissez l’UIP réviser votre » « …avis et consentementdes formulaires « . Expliquez en termes simples aux clients quelles données vous recueillez et comment vous utilisez cette information. Donnez aux gens un moyen facile d’accepter que leurs données soient collectées et stockées, et vérifiez l’exactitude de leurs informations. Et n’oubliez pas d’exercer leurs droits : accès, rectification, effacement, limitation du traitement et droit d’opposition. Trouver des moyens qui permettent aux gens d’accéder à leurs données sous forme numérique sous la rubrique » « .portabilité des données »droits de l’homme.
- Laissez l’UIP réviser vos procédures internes et externes de gestion et de sécurité de l’information. Vous devez vous assurer que vos fournisseurs informatiques – tels que ceux qui offrent des services en nuage – sont conformes à RGPD et que des normes élevées de sécurité de l’information sont adoptées tout au long de votre chaîne logistique de données.
- Réviser les ententes de transfert et de partage des données. Utilisation » Utilisationdes règles d’entreprise contraignantes »le cas échéant. Si vous opérez dans plusieurs pays de l’UE, assurez-vous de savoir qui est votre autorité principale en matière de protection des données ; vous pouvez demander de l’aide à ce sujet auprès du comité consultatif indépendant sur la protection des données, le Groupe de travail Article 29.
- Formez vos employés à manipuler les données de façon appropriée. Du service d’assistance à la clientèle au personnel des RH, en passant par l’unité de veille stratégique, tous les employés doivent comprendre quelques leçons fondamentales sur la sécurité de l’information et les droits des personnes concernées contenus dans le RGPD .
- Tenez un registre de toutes les décisions que vous prenez et soyez prêt à expliquer et à fournir en tout temps des preuves de conformité totale. Soyez prêt pour le lendemain du jour où votre organisation aura subi une atteinte à la protection des données. Vous aurez 72 heures avant d’être tenu de notifier l’autorité de protection des données et les médias. N’oubliez pas que le RGPD vise à gérer les risques et à favoriser une culture de responsabilisation ; s’il est correctement mis en œuvre, il vous aidera à protéger votre réputation et vos précieuses informations.
- N’oubliez pas que RGPD n’est pas un choix entre la protection de la vie privée et l’innovation : c’est une question de protection de la vie privée et d’innovation. Profitez-en pour arrêter de stocker des données en vue d’une utilisation future et pour mieux comprendre les données que vous devez conserver. Le RGPD est une occasion de réduire le risque d’être victime d’un scandale de données causé par de mauvaises pratiques en matière de protection de la vie privée.
- Favoriser le dialogue au sein de votre secteur afin d’identifier les meilleures pratiques et d’établir de nouvelles normes. Demandez conseil à votre autorité chargée de la protection des données et laissez votre UIP apprendre des autres et partager ses réalisations et ses préoccupations. RGPD encourage la création de codes de conduite et programmes de certification. Le RGPD vise à améliorer les normes de l’industrie – vous n’êtes certainement pas seul.
La RGPD n’est pas quelque chose que les organisations ne devraient pas craindre à l’approche du 25 mai. Prenez les bonnes mesures pour bâtir sur vos cadres informatiques existants – le reste devrait être un jeu d’enfant.