10 conseils pour préparer votre organisation au GDPR

Le GDPR (General Data Protection Regulation) approche à grand pas. Le 25 mai 2018, il sera d’application. Aujourd’hui, plus d’un quart (26%) des dirigeants pensent que leur entreprise n’est pas préparée… Que faire ? Suivre ces 10 conseils d’ESET !

1. Organiser la mise en conformité – L’an dernier, dans un blog, Steve Wood, chef de la stratégie et de l’information internationale au Bureau du Commissaire à l’Information (ICO), a modéré les préoccupations au sujet du Brexit en affirmant «qu’une fois implémentée dans l’UE, le GDPR sera d’application pour de nombreuses organisations au Royaume-Uni». Bien que le Royaume-Uni se prépare à quitter l’UE, un grand nombre de ses entreprises et organisations devront pourtant se conformer au GDPR car elles travailleront encore avec des données de citoyens de l’UE. Concernant les autres pays de l’UE, il sera bien entendu important pour toutes les organisations qui traitent des données concernant les citoyens de l’UE de planifier en amont l’intégration de ce nouveau règlement. Il convient dès lors de mettre en place un plan d’action pour la mise en conformité avec la loi, et ce, en commençant par cartographier les données et les risques qu’elles encourent.

2. Sensibiliser les collaborateurs – Il est important que tous les décisionnaires d’une organisation soient informés des implications du GDPR et de ce que cela représente pour leurs activités quotidiennes.  Selon l’enquête Gigamon 2017, seulement 41% des professionnels de l’IT ont déclaré être «complètement informés» des implications du GDPR alors que 9% a indiqué n’en avoir aucune idée. Ces chiffres démontrent clairement qu’il y a encore beaucoup de travail et d’efforts à faire pour que toutes les organisations soient réellement bien informées. De plus, informer et éduquer l’ensemble des salariés de son organisation sur la modification des usages, va devenir essentiel afin d’éviter les mauvaises pratiques.

3. Déterminer la façon dont une organisation traite les données – Sous la Directive de Protection des données de l’UE actuelle, ce ne sont que les contrôleurs de données qui sont responsables de la conformité en matière de protection des données. Cependant, comme l’explique ICO, le GDPR place également des obligations statutaires directes sur ceux qui traitent les données. Il est donc important d’établir si une organisation n’effectue que du traitement de données ou que du contrôle tout en gardant à l’esprit qu’elle pourrait faire les deux. Effectuer un audit des méthodes utilisées actuellement est une des meilleures façons de se préparer au GDPR. Cela signifie qu’une compréhension approfondie de la manière dont une organisation traite les données est primordiale.

4. Examiner toutes les facettes du traitement des données dans une organisation – Il est important de savoir où les données personnelles sont stockées avant d’évaluer la sécurité de cet endroit, ainsi que d’être informé sur la ou les personnes en charge du contrôle de ces données. Il est d’une crucial d’impliquer le département IT dans ce processus afin d’avoir des précisions supplémentaires et d’avoir une meilleure évaluation des ressources réelles de son organisations.

5. Examiner les violations de données antérieures – Examiner toutes les violations et/ou fuites de données antérieures fournira une image précise des capacités d’une organisation à réagir à des attaques futures et donnera une meilleure idée des possibilités qu’offrent les procédures existantes pour répondre à des exigences futures. Une des mesures exceptionnelles qui sera introduite par le GDPR est la notification suite à une fuite de données. Les organisations devront signaler ces violations/fuites dans un délai maximum de 72 heures après leur découverte. Elles devront être accompagnées d’informations sur la nature et le degré de sévérité de l’attaque.  Les amendes et sanctions en cas de non-conformité seront importantes (2 à 4% du chiffre d’affaires annuel ou 20 à 40 millions EUR et visent à motiver les organisations à s’impliquer dans leur mise en conformité.

6. Nommer un Data Protection Officer (DPO) – Selon l’IAPP, les Data Protection Officers seront indispensables pour le secteur public ou les organisations qui traitent régulièrement et à grande échelle des données personnelles. Le DPO travaille de manière indépendante et rapportera au plus haut niveau de direction dans l’organisation. Sa principale responsabilité est d’avoir une compréhension parfaite du GDPR et d’implémenter les exigences requises afin d’obtenir l’accord de toutes les parties impliquées.

7. Etre informé en matière de règles concernant le droit des personnes – Un des éléments clefs de la GDPR est le renforcement du droit des personnes concernées, y compris le droit à l’oubli et la portabilité des données. Ceci signifie qu’une organisation peut être amenée à fournir des données qui iront à la concurrence. Les entreprises étant obligées de promouvoir ces droits, il est important que des procédures permettant cette portabilité soient mises en place.

8. Etre informé en matière de consentement – Le RGPD vise à fournir plus de clarté en ce qui concerne la question du consentement. De nouvelles mesures rendent obligatoires l’obtention d’une déclaration explicite et claire de la part des personnes concernées qui fait preuve d’accord pour traiter des données personnelles. Les entreprises seront soumises à de nouvelles mesures limitant le consentement donné par des enfants en matière de traitement de données sans accord parental. Il est donc important d’examiner les pratiques existantes et mettre en place des procédures d’informations sur la manière dont les données personnelles des individus seront utilisées et traitées.

9. Identifier l’autorité de contrôle principale – Le principe de  guichet unique» – De nombreuses organisations affectées par le GDPR ont des activités internationales et peuvent donc être soumises à des directives autres que le GDPR. Il peut être difficile de déterminer quelle est l’autorité qui joue le rôle d’interlocuteur principal en matière de protection des données lorsqu’une plainte est soumise. Selon l’article 56 du GDPR, ceci est déterminé par le pays dans lequel siège l’organisation. Cela peut poser problème pour les entreprises qui disposent de plusieurs sites. S’il y a une incertitude, il est important d’établir le lieu où sont prises les décisions importantes en matière de traitement des données. Ce lieu fera office de siège décisionnel pour les affaires liées au GDPR et l’autorité de contrôle du pays en question sera désignée comme autorité principale.

10. Affecter plus de ressources – Toutes ces considérations peuvent peser lourdement sur l’infrastructure d’une organisation. Il est donc indispensable que les entreprises affectent des ressources supplémentaires afin de répondre à ces demandes. Le livre blanc de WLS explique que sans planification préalable, «les entreprises pourraient être forcées de répondre aux nouvelles exigences sans avoir prévu les ressources nécessaires pour être en conformité». Affecter des ressources financières et humaines dès le début du processus est une excellente manière d’alléger toute pression potentielle ultérieure.

Pour plus d’information sur le GDPR et apprendre comment ESET peut aider les entreprises à se conformer à la nouvelle loi, visitez le site spécialement conçu pour le GDPR.