Evolution MM

Formations à l'informatique
Découvrez la différence ENI

Lien accueil

Téléchargez le Calendrier des formations

Nantes, Rennes, Niort, Nice, Paris

Rechercher
Actualités Actualité ENI Top 10 des changements liés à la RGPD en entreprise

Top 10 des changements liés à la RGPD en entreprise

par Jacques Foucault, co-auteur de l'ouvrage " RGPD - Le comprendre, le mettre en œuvre ", certifié auditeur ISO 27001, le formateur justifie d'une expérience de plus de 20 ans dans la gestion des risques relative aux données et à l'information. 


1-Des responsabilités mieux identifiées et mieux partagées
Que ce soit pour le secteur privé ou le secteur public, la production du registre des activités de traitement a fait apparaître de nombreux questionnements sur la responsabilité du traitement. Dans notre économie numérique, il est rare qu’un acteur agisse seul, aussi, dans de nombreux cas il a fallu considérer une responsabilité conjointe avec un ou d’autres acteurs. Ceci oblige les responsables conjoints du traitement à définir de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du règlement ce qui peut complexifier la gestion des droits des personnes concernées. 


2. Le suivi et la mise en action de la conformité sont confiés aux opérationnels dans le cadre des décisions du DPO

Alors que ce rôle n’est pas identifié dans le RGPD, assez vite, les entreprises se sont rendu compte que pour piloter la conformité sur le terrain, il était utile d’identifier un gestionnaire opérationnel par activité de traitement pour lui confier un certain nombre de responsabilités comme par exemple : l’encadrement du partage et de la circulation des données personnelles. Ce gestionnaire est le correspondant terrain du DPO ce qui facilite grandement le travail de ce dernier. 
 
3. Une meilleure structuration des données et archives
Les données qui ne sont plus utilisées au quotidien mais qui n’ont pas encore atteint leur durée limite de conservation, par exemple parce qu’elles sont conservées afin d’être utilisées en cas de contentieux, doivent être archivées. Les entreprises qui, pour la plupart, géraient l’archivage de manière empirique sont passées en mode structuré en définissant un processus de gestion des archives qui apporte les réponses aux questions courantes, comme par exemple : quelles données doivent être archivées, comment et où sont-elles stockées, quelles sont les modalités d’accès, comment gérer le sort final ? 


4. Une pression accrue sur les éditeurs et fournisseurs de solutions logicielles
Une fois le processus de gestion des demandes d’exercice des droits mis en œuvre, la principale difficulté devient technique. Les logiciels sont souvent démunis pour apporter la réponse technique à l’anonymisation, au chiffrement, à la portabilité ou encore à l’effacement de données. Les entreprises et les éditeurs se sont rapprochés pour partager la Road Map des logiciels en matière de conformité au RGPD. L’absence d’implication de l’éditeur remet en cause son futur chez son client.


5. Une plus grande attention accordée aux clauses de réversibilité et portabilité
Historiquement, la relation avec les sous-traitants était basée sur la confiance. Si les contrats faisaient état de clauses de confidentialité ou de pénalités, la clause de réversibilité ou de portabilité était rarement présente et les exigences en matière de sécurité n’étaient pas précisées. Les modèles de la CNIL d’une part et les recommandations de l’ANSSI en matière d’externalisation sont venus nourrir le contenu des contrats. 


6. Un renforcement des pratiques de gestion de projet
La protection des données dès la conception nécessite de disposer d’une méthode structurée de gestion de projet qui comprend à minima une phase de lancement avec note de cadrage précisant les acteurs du projet, les rôles et les responsabilités. Le DPO est l’un de ces acteurs. Une première réflexion est alors engagée durant cette étape pour évaluer les risques que présente le traitement pour les droits et libertés des personnes physiques afin de projeter des mesures techniques et organisationnelles qui seront à considérer lors de la phase de conception comme par exemple la minimisation des données collectées ou encore l’anonymisation des données pour la phase de test. 


7. Une meilleure gestion des mesures de sécurité
Si les entreprises peuvent toutes témoigner de mesures de sécurité techniques comme la sauvegarde des données ou encore l’antivirus, cela est beaucoup moins vrai pour les mesures de type organisationnel. Par exemple le processus arrivée/changement de poste/départ d’un utilisateur ou encore la revue des droits d’accès fait défaut dans beaucoup d’entreprise. Ces mesures sont complexes à gérer car elles impliquent plusieurs acteurs internes et nécessitent un chef d’orchestre. Beaucoup d’entreprises ont été amenées à identifier formellement un responsable de la sécurité de l’information pour entre autre, assurer ce rôle. 


8. Une meilleure prévention des risques 
De manière très générale, aux incidents de sécurité, la réponse apportée était de corriger et de remettre en service. Le RGPD a fait naître le registre des incidents de sécurité qui permet d’historiser les évènements et oblige d’une part, à une analyse documentée de l’impact sur la vie privée et d’autre part, à la recherche des causes racine pour définir des mesures correctives et préventives. Cette tâche est documentée et réalisée conjointement par le responsable de la sécurité de l’information et le DPO. 


9. Une meilleure expertise de la protection de la vie privée
La forte médiatisation du RGPD et les actions de communication menées par les fournisseurs, experts et consultants ont poussé les entreprises à former leurs collaborateurs au règlement. Après avoir téléchargé le PDF depuis le site de l’UE et attaqué sa lecture, elles se sont vite découragées pour en faire la synthèse. La richesse des formations proposées sur le marché a permis aux unes et aux autres de mieux comprendre leurs responsabilités et les actions à mener en interne et en externe. 


10. Une meilleure structuration des tâches et l'organisation de révisions de conformités
Le système de management des données à caractère personnel est la meilleure réponse aux exigences du RGPD. Le système de management permet à l’entreprise de mettre en œuvre une démarche structurée afin d’atteindre l’objectif exigé : la conformité dynamique au règlement. Pour celles qui disposaient déjà d’une démarche qualité, c’était une évidence. Pour les autres, après avoir tâtonné, elles ont compris que pour être en conformité dans le temps et pouvoir le démontrer, il était nécessaire de structurer les tâches et d’opérer une revue de conformité annuelle.

Pour vous mettre en conformité avec le RGPD, ENI Service vous propose la formation Apprendre à mettre en oeuvre le système de gestion de la protection des données à caractère personnel

Vous souhaitez apprendre à assurer le rôle de Data Protection Officer et être certifié ?
Inscrivez-vous à la formation DPD/DPO

Vous souhaitez être certain que votre traitement RGPD est conforme à la législation ?
Inscrivez-vous à la formation "Comprendre l'analyse d'impact relative à la protection des données"