6 éléments clés à prendre en compte face aux exigences du RGPD
Comprendre les exigences du Rde conformité liées au Règlement général sur la protection des données.
Tous les matins, sans exception, ma boîte mail est remplie d’actualités, de mises à jour, de recommandations et de mises en garde alarmantes relatives au RGPD (Règlement général sur la protection des données) et à son impact à venir sur les entreprises et leurs fournisseurs. Le RGPD est incontestablement une question urgente, mais le déferlement constant d’informations est oppressant. C’est pourquoi, lorsque je tombe sur une source ou un article ayant le mérite d’apporte un peu de clarté afin de répondre aux exigences du RGDP, je me dois de le partager.
Le numéro de janvier 2018 de McKinsey On Risk reprenait, parmi d’autres sujets, un article publié en ligne l’été dernier sur le RGPD en y ajoutant de nombreux faits clés particulièrement pertinents. En relisant cet article, sa concision et son utilité m’ont sauté aux yeux : l’auteur était parvenu à capturer une vue d’ensemble du problème tout en fournissant une procédure pratique à suivre. Comme le note Forrester dans ses récentes Prédictions 2018, de nombreuses entreprises ne seront pas prêtes pour l’échéance du 25 mai et nombre d’entre elles refusent tout simplement de se conformer au règlement. Cependant, cela n’empêche en rien de se renseigner sur les exigences imposées. Voici donc les 6 éléments clés à prendre en compte face aux exigences du RGPD selon McKinsey:
1. Documentation.
Les entreprises s’engagent à tenir un registre des activités de traitement de données et à le mettre à disposition de l’organisme de régulation à tout moment. Fondement juridique. Le traitement des données doit reposer sur un fondement juridique: consentement du titulaire des données, exigences d’un contrat, fin commerciale légitime, etc.
2. Droits du titulaire des données.
Les entreprises s’engagent à respecter les droits des titulaires, tels que le droit à l’oubli (ou, plus précisément, à l’effacement des données), le droit à la portabilité des données, le droit d’opposition, le droit de révocation du consentement et le droit de restriction du traitement.
3. Sécurité.
Les entreprises s’engagent à protéger les données au moyen de toute mesure utile, telle que le cryptage ou la pseudonymisation, et à disposer de procédures et politiques opérationnelles efficaces garantissant un traitement sécurisé.
4. Gestion vis-à-vis des tiers.
Les entreprises s’engagent à exiger des prestataires et fournisseurs, incluant les sous-traitants, qu’ils protègent les données personnelles et à s’assurer de leur observance.
5. Protection des données dès la conception.
Toute entreprise prévoyant l’intégration d’une technologie, d’un produit ou d’un service inédit(e), s’engage à prendre en compte les exigences relatives à la protection des données dès le début du processus de développement.
6. Notification de violation.
Toute violation de données risquant de compromettre le respect des droits et libertés des individus doit être signalée aux autorités dans un délai de 72 heures et par la suite communiquée aux titulaires des données le cas échéant.
Les exigences du RGPD suscitent une question majeure dans mon esprit : le RGPD est-il trop vaste pour être efficace ? Il englobe une multitude de domaines, à la fois géographiques et réglementaires, et touche un grand nombre d’entreprises. Son application s’annonce complexe, malgré la nature contraignante de ses règles et l’autorité accordée aux organismes de contrôle en Europe. En considérant l’étendue des données couvertes par le RGPD, c’est-à-dire toute information susceptible d’être associée à un individu identifiable (ce qui inclut de nombreux individus), il est évident que des défis se profilent. Ce qui me préoccupe le plus, c’est que le RGPD autorise les individus à intenter des actions en justice, y compris des actions collectives, en cas de violation. Les conséquences de cette possibilité pourraient être considérables, créant un effet boule de neige.
Quoi qu’il en soit, il est essentiel de rester informé à ce sujet afin de s’assurer de demeurer en conformité. Jouissant d’une forte présence en Europe, Corcentric s’engage également en interne à protéger les données de sa clientèle internationale. Nombre de nos clients comptent sur nos solutions de gestion des contrats et de gestion des fournisseurs pour minimiser leurs propres risques liés au tiers, aspect clé du RGPD.
Pour en savoir plus sur la gestion des risques avec la Corcentric Platform, n’hésitez pas à prendre rendez-vous pour une démonstration personnalisée.