GDPR : il est temps pour les entreprises de lancer leur projet

0

Le Règlement Général sur la Protection des Données (GDPR) a été adopté et enregistré au Journal officiel de l’Union Européen le 4 mai 2016. Sa mise en application est déjà prévue pour le 25 mai 2018. Pour les entreprises, le temps est compté. Elles semblent toutefois avoir du mal à lancer les projets adaptés pour assurer leur conformité à ce nouveau Règlement. La faute peut-être à la taille du Règlement, 88 pages qui n’ont rien d’un roman… Malgré cela, il reste un peu plus d’une année aux entreprises pour se conformer, à défaut les entreprises échouant dans leur mise en conformité vont s’exposer à de fortes amendes. Et les montants ont de quoi inquiéter.

Plutôt que de rappels sur les enjeux et l’urgence d’agir, les entreprises ont bien plus besoin aujourd’hui de conseils pragmatiques sur les moyens à mettre en œuvre dès maintenant puis sur les actions à prioriser jusqu’à la mise en place effective du Règlement.

Ne pas céder à la panique et avancer par étapes

Première étape incontournable : la mise en place d’une équipe inter-départements dont le but va être de piloter le projet de conformité au GDPR. En effet avant de se lancer tête baissée dans de grands chantiers, il faut installer les bases d’une collaboration et d’une implication de toutes les parties importantes. Le projet GDPR n’est pas un petit projet, pouvant être abandonné à la seule équipe IT de l’entreprise. La mise en conformité au GDPR requiert un effort combiné des départements finance, IT, juridique, sécurité et de tous les autres départements (marketing par exemple) concernés par la gestion de données personnelles sous toutes ses formes.

Une fois cette équipe en place, voici quelques actions à prioriser : 

  1. Tout d’abord, le recensement de l’ensemble des documents détenus par l’entreprise. Cette mission doit s’adresser à la fois aux départements informatique, sécurité et juridique, et a aura pour objectif de répertorier les éléments les plus sensibles pour l’entreprise et ses employés.
  2. Cette première étape réalisée, l’entreprise disposera d’une cartographie des données et de son réseau. Elle bénéficiera ainsi d’une visibilité détaillée sur toutes les données personnelles générées ou utilisées dans le cadre de son activité : d’où viennent ces données ? où vont-elles ? que contiennent-elles ? Il est ensuite important d’évaluer le niveau de sécurité adapté en s’appuyant sur un document clé : Stratégies de Protection by Design qui est proposé par l’agence Européenne de cybersécurité, ENISA, et qui est très largement adopté dans le GDPR. A mesure que l’exercice de cartographie avance, l’IT doit veiller à conserver un niveau minimum de visibilité sur les données (Ce que le GDPR appelle « minimisation »). Précisons qu’il est clairement important de rassembler un maximum de données, mais que celles-ci ne nécessitent un déchiffrage et un traitement que si cela est nécessaire. Attention à ne pas se noyer sous le travail.
  3. Il est enfin possible que les nouvelles technologies ou politiques nécessitent d’être présentées au sein de l’entreprise, afin d’évaluer avec les départements et métiers si elles peuvent mettre en danger de quelque façon le transfert ou le stockage des données. Cela s’appelle l’évaluation des impacts sur la vie privée – Privacy Impact Assessment. Dans ce cas, deux prérequis :
  • Tout d’abord, sécuriser les données en mouvement ou au repos, et veiller à toujours savoir qui a accès aux données personnelles et quelles actions les utilisateurs en question peuvent réaliser avec elles.
  • Ensuite, signaler et documenter toutes les actions réalisées afin de toujours bénéficier de preuves du respect de la conformité au GDPR.

Aussi intimidant que le GDPR puisse paraître à ce stade de préparation pour les entreprises, il n’est pas difficile de lancer dès maintenant de premières actions, et en premier lieu de créer une équipe dédiée dont les membres accepteront de partager les responsabilités. La date d’entrée en application du Règlement va approcher rapidement même si sur le papier le délai semble encore grand. Ne cédons pas encore à la panique mais n’attendons pas la dernière ligne droite pour agir. Priorisons et commençons aujourd’hui par les points les plus cruciaux.

About Author

István Molnár

Spécialiste conformité chez Balabit

Leave A Reply