Le futur règlement général de l’UE sur la protection des données à caractère personnel (RGPD) est la plus importante révision de la législation sur la protection des données en près de 20 ans. Ce règlement entrera en vigueur le 25 mai prochain et tend à remplacer les différentes réglementations en matière de données dans l’Union européenne par une seule norme de protection pour l’ensemble de la région. Alors que l’échéance approche, une étude récente – réalisée par la société de logiciels Senzing – a révélé que 60% des entreprises européennes ne sont pas préparées à son arrivée. Avec le temps qui s’écoule, ces entreprises doivent redoubler d’efforts pour s’y conformer rapidement, mais beaucoup d’entre elles ne savent toujours pas comment décomposer la législation complexe en processus faciles à mettre en œuvre.

Les trois volets de la conformité

La solution réside dans l’adoption d’une approche plus cohérente pour traiter les nombreux domaines couverts par le RGPD, en concentrant les efforts sur les trois composantes principales de l’entreprise : les personnes, les processus et la technologie :

  • Les personnes : Les personnes au sein d’une organisation sont proches des données et celles qui les comprennent le mieux. Par conséquent, la première action devrait toujours consister à travailler avec les parties prenantes concernées pour identifier et classifier correctement les données, évaluer la manière dont elles sont utilisées et mieux comprendre le chemin le plus approprié à suivre.
  • Le processus :Une fois que les données protégées par le RPGD ont été identifiées, des processus clairs doivent être mis en place pour que les employés les suivent. Cela permettra de s’assurer que la conformité est atteinte et maintenue.
  • La technologie :Une bonne technologie aidera les entreprises à répondre aux exigences du RGPD. Le RGPD précise que la sécurité des données devrait être intégrée aux projets et initiatives technologiques.

Appliquer cette approche dans le contexte du RGPD

L’adoption d’une approche cohérente de « Personnes, processus et technologie » dans le RGPD peut aider les entreprises à comprendre exactement ce qui doit être fait et comment s’y prendre pour s’y conformer.

Le RGPD comprend un vaste ensemble de droits que les citoyens de l’UE résidant dans l’UE auront le droit d’exercer, afin de protéger leurs données à caractère personnel. Il en résulte que le citoyen européen est propriétaire de ses données jusqu’à ce qu’il donne son accord pour que celles-ci soient utilisées. Les entreprises doivent donc s’adapter et apprendre à fonctionner dans ce nouvel environnement.

Les personnes : Le plus grand défi ici est très certainement de changer les attitudes à l’égard du consentement et de la propriété des données au sein des organisations. Et cela s’avèrera plus difficile pour certains que pour d’autres. Les entreprises habituées à se réinventer ont tendance à accepter le changement beaucoup plus facilement que celles qui ont une façon bien ancrée de faire les choses. L’éducation jouera un rôle clé dans l’évolution des comportements vis-à-vis des données personnelles au fil du temps.

La modification du consentement à l’utilisation des données est également un élément clé. Le RGPD exige des entreprises qu’elles indiquent spécifiquement comment les données à caractère personnel sont utilisées et qu’elles laissent aux citoyens la possibilité de choisir s’ils souhaitent ou non que leurs données soient utilisées de cette manière. Par conséquent, les personnes au sein de l’entreprise doivent changer la façon dont ils abordent le consentement de l’utilisateur. Les outils de consentement doivent donc devenir beaucoup plus conviviaux et faciles à utiliser qu’ils ne le sont aujourd’hui.

Les processus : Le RGPD s’attend à ce que les entreprises mettent en place des processus qui permettent aux citoyens de l’UE de réclamer leurs données personnelles, de les faire rectifier ou même de les supprimer. Ces demandes doivent être traitées « sans retard injustifié », ce qui signifie que les entreprises devront savoir exactement où résident les données et comment elles sont stockées.

Il faut une gouvernance rigoureuse de ce processus pour s’assurer que les bonnes données sont transmises à la bonne personne. Dans la plupart des cas, cela prendra la forme d’une série d’étapes d’autorisation, supervisées par le Délégué à la Protection des Données (DPD) de l’entreprise.

En vertu du RGPD, la nomination d’un DPD est obligatoire pour les autorités publiques, ainsi que pour les organisations qui contrôlent les personnes concernées ou traitent des données personnelles sensibles à grande échelle. Le Délégué à la Protection des Données sera le point névralgique de toutes les activités liées à la protection des données et à la conformité, et rendra compte au conseil d’administration et aux clients.

La technologie : Pour assurer le respect de la conformité, un filet de sécurité technologique est nécessaire pour faire respecter les processus. Une solution complète de découverte des données à l’échelle de l’entreprise devrait être utilisée pour localiser toutes les données susceptibles d’être assujetties au RGPD. Cela doit inclure les données résidant sur les ordinateurs portables, les serveurs, les bases de données, les partages de fichiers ou dans le Cloud.

La classification des données par contexte, contenu et utilisateur permettra aux entreprises de suivre et de contrôler le mouvement des données pertinentes. Il est extrêmement important de s’assurer que toute modification des données au fil du temps est bien identifiée et prise en compte dans les activités de conformité.

La RGPD améliorera considérablement la protection des données à caractère personnel et de la vie privée de tous les citoyens de l’UE. Alors que réussir à être conforme à cette réforme peut sembler difficile, l’essentiel est de diviser les éléments fondamentaux de la législation en sections distinctes et d’appliquer une approche uniforme à chaque secteur. Grâce à cette approche, la conformité pourra être atteinte dans les délais impartis.

_____________
Vincent Dely est Solutions Architect de Digital Guardian