Se mettre en conformité au RGPD : c’est le temps de s’y mettre !

Par Jean-François Delorme, Michel Khazzaka et Ed Reynolds

Mettre en œuvre la préparation au Règlement général sur la protection des données (RGPD) de l’Union européenne est probablement l’une des activités les plus importantes que les entreprises doivent entreprendre cette année. En se conformant au RGPD, il s’agit non seulement d’éviter des amendes potentiellement substantielles de l’UE en cas de non-conformité, mais également d’améliorer la protection des données et de protéger la réputation de l’entreprise. C’est aussi l’occasion d’améliorer la gestion des données afin de mieux les valoriser dans un cadre réglementaire.

RGPD consiste en une nouvelle série de règles – 99 en tout – visant à protéger la vie privée et la sécurité des citoyens de l’Union européenne en ligne. Ces règles sont maintenant approuvées et entrent en vigueur le 25 mai 2018.

Toutes les entreprises établies en Europe sont concernées. Une entreprise qui n’est pas basée en Europe, est concernée par le RGPD si l’une des situations suivantes s’applique :

  • Elle offre des biens et services, y compris ceux qui sont gratuits, aux citoyens de l’UE.
  • Elle surveille le comportement en ligne des citoyens de l’UE.
  • Elle détient et traite des données personnelles de citoyens de l’UE.

Des exigences difficiles – et de lourdes amendes

Partant du principe que le RGPD affecte une entreprise, voici les mesures à entreprendre pour être conforme :

  • Prouver la conformité au RGPD en fournissant des documents d’analyse d’impact relative aux données personnelles des catégories et finalités des traitements les concernant ainsi que les mesures de protections de ces données.
  • Informer l’autorité de contrôle de toute violation des données à caractère personnel qui ait eu lieu dans l’entreprise au plus tard 72 heures après l’avoir détectée
  • Recruter un délégué à la protection des données (ou Data Protection Officer) responsable de la surveillance du respect des règles contraignantes au sein de l’entreprise.
  • Permettre aux citoyens de l’UE de gérer et de retirer facilement leur consentement ainsi qu’exécuter leur droit à l’oubli quant au traitement de leurs données personnelles, et être en mesure de le prouver.
  • Informer toutes les personnes concernées des risques relatifs au transfert de leur données à des entreprises tierces ou à l’extérieur de l’UE.

Quel est le coût de la non-conformité ?

L’autorité de contrôle pourrait infliger une amende. Les amendes, qui ont différents niveaux, peuvent aller jusqu’à 4% du revenu annuel de l’entreprise ou 20 millions d’euros, selon la somme la plus élevée des deux. Elle peut aussi imposer des ordres contraignants de mise en conformité et même suspendre un traitement ou un service non-conforme.

Premières étapes pour commencer à préparer la conformité

Il est possible d’accélérer le processus de conformité au RGPD en commençant par évaluer le niveau de préparation de votre entreprise et comprendre son niveau d’exposition. Cela implique de découvrir et d’évaluer toutes les données personnelles de l’entreprise qui sont assujetties au RGPD. Cette évaluation nécessite une revue des éléments organisationnels, des procédures métier, des obligations réglementaires et des contraintes légales.

Pour faciliter la mise en conformité, DXC Technology met à disposition de ses clients une offre globale combinant un savoir-faire Conseil, Cybersécurité et Analytique. Cette offre se décline en 3 temps : la mesure de l’écart par rapport aux exigences RGPD, la mise en place d’un plan détaillé de mise en conformité et le programme d’implémentation de la feuille de route.

Notre offre se base sur des solutions spécifiques d’évaluation de la maturité de protection des données. La Cyber Reference Architecture (CRA), est un cadre extrêmement structuré qui passe au crible près de 350 fonctionnalités de sécurité. DXC utilise la CRA pour répondre aux exigences complexes de la transformation de la sécurité. DXC propose aux entreprises une solution sécurisée d’exploration automatique des données. Elle permet d’inventorier dynamiquement ceux à caractère personnel en tenant compte des sources multi-langues dans divers domaines métiers.

Pour commencer, pensez à la fin

Pour accélérer la mise en conformité, nous recommandons de construire une feuille de route avec pour objectif la conformité totale. La plupart des évaluations proposées par le marché ne font pas cela, et se contentent d’évaluer la capacité à transformer. Elles peuvent aussi entrainer des programmes étalés des mois, pour juste créer un plan. Notre étape d’évaluation est de 4 semaines, l’étape du plan détaillé est de 6 semaines.

Les services de mise en conformité au RGPD de DXC offrent une puissante combinaison de conseils métier, technique, et juridique, de gestion dynamique des données et des solutions de protection de ces données (anonymisation, tokenisation, etc.) en vue d’une mise en conformité efficace nous recommandons une démarche globale et une approche modulaire par domaine selon la cartographie des risques. Cela raccourcit à la fois le temps nécessaire pour se conformer au Règlement et en réduit les coûts. Mai 2018 approche à grands pas. Il est grand temps de se préparer pour le RGPD !

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: