Comment mettre en place une procédure GDPR ?
Toutes les entreprises vont devoir se mettre en conformité avec GDPR, le règlement européen sur la protection des données. Ce sujet sera étudié lors de la Matinée Stratégique CIO consacrée à la Cybersécurité le 28 février 2017.
PublicitéL'acronyme GDPR, Règlement général pour la protection des données, commence à être largement connu. La date butoir également, les entreprises ont jusqu'au 25 mai 2018 au plus tard pour s'y conformer. Les modalités de mise en conformité restent en revanche dans le flou. Le cabinet Deloitte vient de publier un Livre Blanc sur le sujet : « GDPR, par où commencer ? » L'occasion de rappeler le cadre juridique et les obligations qui vont incomber aux entreprises.
Mais, dès l'introduction, Michael Bittan, associé leader des activités Cyber Risk Services chez Deloitte insiste sur les difficultés d'adaptation du règlement européen. Au premier rang desquelles, il place l'évaluation des volumes de données personnelles à « trier ». La moindre incertitude sur ce point fait réfléchir. Si l'entreprise s'avère incapable de fournir les données personnelles d'un client, elle est prise en défaut. Le GDPR est justement basé sur sa responsabilité dans la protection des données. L'entreprise doit pouvoir les fournir et savoir les traiter comme les protéger.
Il ne reste que 500 jours
Une amende est prévue en cas de défaillance de l'entreprise dans la protection de ses données clients. Amende dissuasive. Destinée avant tout à les pousser à se mettre en conformité avec le règlement européen. Il ne reste que 500 jours, résume Michael Bittan. Dans un autre rapport, celui de Symantec, 96% des entreprises françaises, allemandes et britanniques concédaient n'avoir qu'une compréhension partielle du GDPR.
Ce règlement oblige à revoir son organisation, note Deloitte. Toute entreprise de plus de 250 salariés doit se doter d'un délégué à la protection des données ou d'un directeur de la protection des données. Nombre de RSSI étendent leurs fonctions à celle de responsable de la compliance [conformité réglementaire]. L'entreprise toute entière se met ainsi à la data gouvernance.
Dans cette démarche, le cabinet cite plusieurs étapes. D'abord, réaliser un état des lieux des traitements et des données manipulées, des moyens en place et des zones à risque. Il faut une méthodologie de type industriel. Ensuite, chaque responsable se voit attribuer un positionnement de même que les sous-traitants ou les hébergeurs. Débute alors l'identification proprement dite des données personnelles, nature, volume, localisation, niveau de criticité, cycle de vie. Ensuite, préconise le cabinet, une étude d'évaluation des impacts et des risques sur la vie privée s'avère nécessaire.
Article rédigé par
Didier Barathon, Journaliste
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire