Comment démarrer sa mise en conformité ?

Comment démarrer sa mise en conformité ?

Le coûteux risque oublié du RGPD
Alors que le  » Règlement Général sur la Protection des Données  » ( RGPD) entrera en vigueur en Europe dans moins d’un…cestpasmonidee.blogspot.fr

Cet article présente les étapes importantes, voire prioritaires, d’une démarche Privacy

La réglementation RGPD ou GDPR qui sera applicable le 25 mai 2018 renforce nombres de contraintes qui étaient déjà mises en oeuvre depuis la loi Informatique et Libertés de 1978, en créant de nouvelles contraintes.

La Privacy, c’est la protection de la vie privée dans les systèmes d’information, numérisés ou pas.

D’abord vécu comme une contrainte, les entreprises privées et publiques ont également perçu que protéger la vie privée était un frein à la collecte des données personnelles alors qu’elles représentent un capital fortement valorisé depuis quelques années.

Ne pas protéger les données a des conséquences autrement plus graves : une perte progressive et inéluctable de la confiance des usagers et consommateurs dans l’économie numérique.

Bien avant la réglementation RGPD, la CNIL avait posé cette philosophie basée sur la prévention, la pédagogie, l’écoute, dans l’évolution de la loi Informatique et Libertés, lors de sa révision en 2004, sur la sensibilisation à la protection de la vie privée.

Cette philosophie est désormais inscrite dans la réglementation au travers de la Privacy by default : une prise en compte de la protection de la vie privée dont on collecte les informations par défaut, tout le temps et sur tous les sujets et dont doit s’emparer une organisation privée ou publique pour développer ses activités.

Cela se traduit par la mise en oeuvre de la Privacy by design (protection de la vie privée dès la conception) et PIA ou DPIA (Data Privacy Impact Assessment), pour l’analyse et la gestion des impacts de l’utilisation des données personnelles sur les personnes concernées. Ces nouveaux piliers ne concernent pas que les traitements, ils sont là pour accompagner les organisations à intégrer la protection de la vie privée dans leurs activités.

Ces nouvelles méthodes, comme l’obligation de documentation (Accountability) ou encore les nouveaux droits comme la portabilité, l’effacement des données ou l’oubli, ou encore les exigences plus strictes sur le consentement des personnes doivent être prises en compte rapidement.

Par quoi commencer ?

Effectuez un audit de vos traitements et de vos données numériques et papier (informations personnelles).

Effectuez un audit de vos systèmes d’informations

Croisez-les pour répondre aux premières obligations que sont l’identification de vos traitements (une cartographie) et la capacité à notifier vos failles de sécurité à votre autorité de contrôle.

Si vous avez des sites internet, effectuez un audit de vos cookies et assurez-vous du consentement de vos internautes à ce sujet.

Il vous faudra ensuite auditer chaque traitement et les déclarer dans un registre pour identifier les actions à mettre en oeuvre, pour les amener à une conformité qui protégera votre organisation de sanctions potentielles, ainsi que vos responsables légaux. Vous serez également dans l’obligation de documenter les actions que vous menez, afin d’apporter la preuve de votre engagement pour minimiser les risques que peut vous faire courir la réglementation.

Article original sur Medium.com