En ce moment En ce moment

6 éléments clés à prendre en compte face aux exigences du RGPD

Publié par / Avec la Marketplace le

Comprendre les exigences du Rde conformité liées au Règlement général sur la protection des données.

  • Imprimer

Tous les matins, sans exception, ma boîte mail est remplie d’actualités, de mises à jour, de recommandations et de mises en garde alarmantes relatives au RGPD (Règlement général sur la protection des données) et à son impact à venir sur les entreprises et leurs fournisseurs. Le RGPD est incontestablement une question urgente, mais le déferlement constant d’informations est oppressant. C’est pourquoi, lorsque je tombe sur une source ou un article ayant le mérite d’apporte un peu de clarté afin de répondre aux exigences du RGDP, je me dois de le partager.

Le numéro de janvier 2018 de McKinsey On Risk reprenait, parmi d’autres sujets, un article publié en ligne l’été dernier sur le RGPD en y ajoutant de nombreux faits clés particulièrement pertinents. En relisant cet article, sa concision et son utilité m’ont sauté aux yeux : l’auteur était parvenu à capturer une vue d’ensemble du problème tout en fournissant une procédure pratique à suivre. Comme le note Forrester dans ses récentes Prédictions 2018, de nombreuses entreprises ne seront pas prêtes pour l’échéance du 25 mai et nombre d’entre elles refusent tout simplement de se conformer au règlement. Cependant, cela n’empêche en rien de se renseigner sur les exigences imposées. Voici donc les 6 éléments clés à prendre en compte face aux exigences du RGPD selon McKinsey:

1. Documentation.

Les entreprises s’engagent à tenir un registre des activités de traitement de données et à le mettre à disposition de l’organisme de régulation à tout moment. Fondement juridique. Le traitement des données doit reposer sur un fondement juridique: consentement du titulaire des données, exigences d’un contrat, fin commerciale légitime, etc.

2. Droits du titulaire des données.

Les entreprises s’engagent à respecter les droits des titulaires, tels que le droit à l’oubli (ou, plus précisément, à l’effacement des données), le droit à la portabilité des données, le droit d’opposition, le droit de révocation du consentement et le droit de restriction du traitement.

3. Sécurité.

Les entreprises s’engagent à protéger les données au moyen de toute mesure utile, telle que le cryptage ou la pseudonymisation, et à disposer de procédures et politiques opérationnelles efficaces garantissant un traitement sécurisé.

4. Gestion vis-à-vis des tiers.

Les entreprises s’engagent à exiger des prestataires et fournisseurs, incluant les sous-traitants, qu’ils protègent les données personnelles et à s’assurer de leur observance.

5. Protection des données dès la conception.

Toute entreprise prévoyant l’intégration d’une technologie, d’un produit ou d’un service inédit(e), s’engage à prendre en compte les exigences relatives à la protection des données dès le début du processus de développement.

6. Notification de violation.

Toute violation de données risquant de compromettre le respect des droits et libertés des individus doit être signalée aux autorités dans un délai de 72 heures et par la suite communiquée aux titulaires des données le cas échéant.

Les exigences du RGDP soulève dans mon esprit une question majeure : Le RGDP est-il trop large pour être efficace ? Il couvre un grand nombre de domaines, tant géographiques que réglementaires, et un grand nombre d’entreprises. Son application sera difficile, malgré le caractère astreignant des règles et le degré d’autorité accordé aux organismes de contrôle en Europe. Si l’on considère toutes les données que couvre le RGPD, c’est-à-dire toute information pouvant être reliée à un individu identifiable (ce qui implique de nombreux individus), la difficulté est évidente. Le plus préoccupant selon moi est que le RGPD autorise les individus à engager une action au civil, et notamment un recours collectif, en cas de violation.  Par effet boule de neige, les répercussions seront conséquentes.

Quoi qu’il en soit, il est essentiel de rester informé à ce sujet afin de s’assurer de demeurer en conformité. Jouissant d’une forte présence en Europe, Determine s’engage également en interne à protéger les données de sa clientèle internationale. Nombre de nos clients comptent sur nos solutions de gestion des contrats et de gestion des fournisseurs pour minimiser leurs propres risques liés au tiers, aspect clé du RGPD.

Pour en savoir plus sur la gestion des risques avec la Plateforme Cloud Determine, n’hésitez pas à prendre rendez-vous pour une démonstration personnalisée.

Image: latribune.fr

Autres articles proposés