Retardataires du RGPD : les 5 volets incontournables de la mise en conformité
Cartographie des données, gestion du consentement, traitement des données, transparence et sécurité sont autant de challenges auxquels les entreprises doivent faire face.
Nous y sommes. Après deux ans de discussion, le Règlement général sur la protection des données (RGPD) est enfin en place. Si les entreprises sont sur le pied de guerre depuis des mois, seules 36% prévoient qu’elles seront entièrement conformes au RGPD pour la date de mise en application (ce 25 mai 2018).Cartographie des données, gestion du consentement, traitement des données, transparence et sécurité sont autant de challenges auxquels les entreprises doivent faire face. Et nombreuses sont celles qui se tournent vers des prestataires de services afin de les épauler dans les différents volets du règlement.
Une approche globale du RGPDL’analyse des plateformes digitales (sites internet et applications mobiles), concerne la partie la plus visible de la mise en conformité du point de vue des visiteurs mais aussi des autorités. C’est également là où se concentrent les « Quick Wins », c’est-à-dire ces actions accessibles et relativement rapides à mettre en place.
Beaucoup d’acteurs mènent depuis plusieurs mois des projets de mise en conformité sur des chantiers internes complexes et d’envergure (SI, processus, organisation, etc.). Or, ce qui interroge est que cet effort ne se reflète pas encore intégralement sur le front office (les sites web & applications).
L’enjeu de la sélection d’un outil est d’appréhender la mise en conformité RGPD dans sa globalité. D’une part du point de vue de l’architecture backoffice et de la transformation des données conservées (stock de données, conservation, sécurité, traitements et transferts effectués sur les données). D’autre part, du point de vue de l’interaction avec l’utilisateur et collecte des données (espaces d’information aux utilisateurs liés aux nouveaux droits et interfaces de collecte et de gestion des consentements).
Les 5 familles d’outils de mise en conformité
Plusieurs outils peuvent aider les data protection officers (DPO) ainsi que les professionnels de la data.
Le registre des traitements est le premier document qui prouvera la conformité d’une entreprise. Il représente la ‘fiche d’identité’ de l’entreprise en matière d’exploitation de données personnelles. Il fournit notamment une visualisation des flux de données et du responsable, une vue d’ensemble des traitements opérés ainsi qu’une analyse de risques.
Indispensables au processus de protection des données, les outils de cartographie des traitements permettent de visualiser les flux et les traitements effectués sur la data, de leur source jusqu’à leur restitution. Ils établissent une cartographie et donnent une vue d’ensemble des traitements. De même, certains outils offrent des fonctionnalités de centralisation de l’accès aux sources de données ou de production de rapports personnalisés de conformité.
Au 25 mai, les consommateurs seront appelés à donner leur consentement éclairé avant toute collecte de données personnelles. Les outils de gestion du consentement assurent la collecte, l’historisation et la lecture ou modification du consentement. En aval de son traitement, ces outils digitaux apportent une traçabilité et une capacité d’export en cas d’audit.
De leur côté, les outils de privacy documentation permettent d’administrer et d’assurer la sécurité des données personnelles grâce à une centralisation des préférences, la création des documents de suivi ou encore la mise en place d’alertes sur les données collectées.
Enfin, les outils de gestion des tags accompagnent les entreprises dans leur déploiement des tags. Cela passe par une documentation des modifications dans une optique de transparence, un suivi de l’avancement et l’industrialisation des modifications.
Après ce 25 mai, la Commission Nationale de l’Informatique et des Libertés (CNIL) a promis d’être clémente avec les entreprises peinant à se mettre en conformité à temps. Cependant, elles doivent prouver leur engagement dans la collecte et la gestion raisonnée des données personnelles. Pour cela, le processus doit être engagé de leur côté tant en interne qu’avec leurs partenaires technologiques. En effet, ceux-ci travaillent main dans la main avec les DPO et experts métiers afin d’adresser toutes les problématiques de la RGPD et se mettre en conformité en douceur.
[1] Source