Le DPO (Data Proteciton Officer), maître d’œuvre du RGPD, doit prioriser ces actions. Top action en cinq étapes.
1 – Cartographier les traitements et identifier leurs responsables
Prérequis à toute action, la cartographie de l’ensemble des applications et responsables de traitements où sont manipulées des données personnelles est une tâche ardue dans les grands groupes ou le Shadow IT est fréquent.
2 – Mise en place d’un processus de notification des fuites de données
L’obligation de notification d’une faille de sécurité dans les 72 heures imposée par le RGPD fait peur. Le DPO doit mettre en place un circuit d’information efficace entre les prestataires et les strates hiérarchiques et fonctionnelles de son organisation afin de remonter au plus vite une intrusion auprès des autorités et des personnes dont les données sont potentiellement compromises.
3 – Revoir l’ensemble des contrats et mentions légales
Le RGPD bouleverse la notion de partage de responsabilité entre l’entreprise et ses sous-traitants vis-à-vis des données personnelles. A l’heure où le Cloud est une solution technique de plus en plus fréquemment choisie, les contrats doivent refléter ce partage de responsabilité. Des clauses types « RGPD » ont commencé à apparaître, notamment sur le site de la CNIL mais il s’agit d’une base de discussion entre le DSI et ses sous-traitants.
4 – Revoir la culture « data » de l’entreprise
Transformation numérique oblige, les entreprises ont placé la data au cœur de leur stratégie, or le RGPD vient battre en brèche cette approche car si le règlement octroie des droits aux clients pour consulter, effacer ou exporter leurs données, il impose aussi à l’entreprise de « limiter la collecte des données personnelles au minimum nécessaire ». Il exige aussi d’obtenir « un consentement éclairé » de la part des personnes fichées.
5 – Blinder son SI
Etre prêt à faire face à une fuite de données, c’est bien, l’empêcher c’est mieux ! Chiffrer les données personnelles et recourir à l’anonymisation là où c’est possible devient impératif, mais beaucoup d’entreprises vont devoir passer un palier dans la sécurisation de leur SI en termes de détection et remédiation d’attaques. Elles vont aussi devoir systématiser leurs audits de sécurité car il faut désormais être capable de prouver sa conformité.
Hélène Legras,
DPO New AREVA Holding
Vice-présidente de l’Association Data Protection Officers
« Le RGPD est un projet
de la gouvernance d’entreprise »
« La première étape de la conformité RGPD est essentielle : désigner le pilote de cette conformité, le DPO. Ce pilote doit être un communicant, ayant des qualités professionnelles et humaines et qui saura s’entourer des expertises internes, dont celles de la DSI et du RSSI car les sécurités techniques et organisationnelles sont au cœur du RGPD. Il aura aussi son réseau externe avec principalement les DPO des autres sociétés. Il complétera les process internes pour mettre en place les droits d’accès, d’effacement, le respect du consentement, les analyses d’impact en cas de traitement à risques. »
