ETAPE 1 : DIAGNOSTIC

Evaluation de la gestion des données personnelles

L’évaluation de la gestion des données personnelles consiste en une série d’évaluations rigoureuses permettant d’identifier tous les risques de non-conformité et de déterminer les mesures requises pour gérer ces risques. Cette phase inclut :

  • Evaluation de la gestion des données personnelles au sein de votre entreprise : une revue exhaustive de l’ensemble des échanges (internes ou externes) de données personnelles, des données privées détenues par la firme (sur les ordinateurs personnels, sur les drives externes, les serveurs et le cloud), les outils de communication, et les mesures existantes en termes de protection de données.
  • Evaluation de la gestion des données personnelles par les partenaires, sous-traitants et les fournisseurs: Identifier les risques liés à la gestion des données personnelles en lien avec des parties tierces ou des fournisseurs, potentiellement au travers de multiples juridictions.
  • Evaluation des protocoles existants: Evaluer la gestion des données personnelles des utilisateurs en termes de consentement, d’accès, de portabilité, de droit à l’oubli et de notification en cas de violation des données.
  • L’utilisation d’une « heat map » des zones à risque en termes de données personnelles à travers l’entreprise: L’élaboration d’une cartographie des risques permettra d’identifier rapidement et précisément tous les risques en matière de données personnelles auxquels votre organisation fait face et constituera une solide base de travail.

ETAPE 2 : MISE EN PLACE

Gouvernance de la gestion des données personnelles

Dans un contexte de régulations plus strictes, il est crucial que les organisations adaptent leurs habitudes et leurs processus internes. Au-delà d’une approche technique et unilatérale de la gestion des données personnelles, un modèle plus durable est requis, à la fois évolutif et respectueux des individus.

Afin d’assurer la conformité de votre entreprise avec le GDPR, il est nécessaire de promouvoir auprès de vos salariés une véritable culture de la gestion des données personnelles au travers de deux actions :

  • La création d’une “Core Privacy Team” composée d’employés de tous les départements de votre entreprise, sous la supervision de votre Chief Privacy Officer (ou fonction similaire).
  • La mise en œuvre d’une politique orientée vers les données personnelles qui inclut :
    • La protection de la vie privée assurée dès la conception (Privacy By Design)
    • Enregistrement, Archivage et Suppression des données
    • Cyber-sécurité
    • Droit à l’oubli, à la portabilité, au consentement et à l’accès aux données
    • Gestion de la violation des données
    • Exigences vis-à-vis des données chez les partenaires et sous-traitants

Formation à la gestion des données personnelles

Le GDPR et le traité « Privacy Shield » exigent la conformité des entreprises en matière de données personnelles, ce qui suppose un engagement de tous les salariés dans cette démarche. Un programme de formation doit donc être mise en place pour expliquer clairement toutes les dimensions de la gestion des données personnelles, ainsi que tous les avantages marketing qu’une organisation peut tirer d’une gestion responsable des données personnelles.

Un programme de formation adéquat doit être mis en place, comprenant :

  • Sensibilisation au GDPR et au respect des données personnelles : cela implique la présentation des nouvelles règles à vos employés, sous la forme d’un kit de formation en ligne, adapté aux différentes fonctions de votre organisation. Ce dernier doit être mis à jour régulièrement afin d’y intégrer l’ensemble des dernières évolutions jurisprudentielles et/ou techniques adéquates et de s’assurer de sa pertinence.
  • Formation aux nouvelles règles : au-delà de la prise de conscience, un programme de formation aide les employés à mettre en œuvre de nouvelles règles de confidentialité, qui seront définies lors de la mise en place de la gouvernance de la vie privée.
  • Formation aux nouveaux procédés : un programme d’entrainement sur les nouveaux procédés devant être mis en œuvre dans le cadre de la mise en conformité de l’entreprise au GDPR et au « Privacy shield ».
  • Sensibilisation à la cyber-sécurité et à la protection des données : formation de vos salariés aux exigences en matière de cyber-sécurité et de protection des données (données personnelles stockées, utilisées et transférées par votre organisation).
  • Assistance juridique : aide sur les accords contractuels avec vos partenaires (fournisseurs, clients, etc.) pour garantir la conformité avec les exigences légales

Porter les ambitions de votre entreprise au-delà du GDPR

Durant la dernière décennie, tout un écosystème public, privé et associatif s’est créé autour de la question de la protection des données personnelles, voyant émerger de nouveaux outils et modèles, porteurs d’opportunités pour votre entreprise en matière de gestion des données personnelles.

Pour porter vos ambitions au delà de la mise en conformité au GDPR, il faut analyser l'impact d'une gestion responsable des données sur votre entreprise et explorer de nouveaux modèles.

 
ETAPE 3 : SUIVI DE LA MISE EN CONFORMITE

  • Indicateurs GDPR – à travers l’entreprise et pour chaque département
  • Une plateforme de suivi – à actualiser régulièrement, et qui sera accessible par la Core Privacy Team à tout moment durant le projet.
  • Tests de conformité et sécurité – sous forme de simulations de cyber-attaques, de violations de données, de demandes d’accès et de suppression de données.
  • Data Privacy Officer