Sur la voie de la conformité au RGPD – Deuxième partie
par Will Xiang, CAMS, CITP, CPA, CA
La date limite pour se conformer au Règlement général sur la protection des données (RGPD) est le 25 mai. Sans surprise, Google Trends indique que le RGPD a suscité une grande attention à l’échelle mondiale récemment.
Selon un sondage réalisé par Paul Hastings LLP, les sociétés américaines investiront entre 501 000 $ et 1 M$ pour combler les besoins en main-d’œuvre liés à la conformité au RGPD. De nombreuses organisations envisagent également de retenir les services de conseillers juridiques ou de consultants externes.
Toutefois, malgré les investissements et l’attention importants, selon IBM, seulement 36 % des sociétés prévoient être totalement conformes au RGPD d’ici le 25 mai, 46 % ont commencé à s’y préparer et 18 % n’ont pas encore commencé.
Pour ces 18 % et 46 %, l’exécution immédiate et en temps opportun d’un programme de conformité au RGPD pourrait avoir des répercussions profondes sur leurs coûts futurs de conformité et leur efficacité ainsi que sur leurs modèles d’affaires existants.
Chez Richter, nous conseillons à nos clients de mettre l’accent sur la gestion des risques : comment l’organisation peut-elle appliquer une approche fondée sur les risques à la conformité au RGPD?
Dans la première partie, nous avons abordé les questions initiales suivantes :
- Pratiques internes :Comment l’entreprise utilise-t-elle les données? Où conserve-t-elle les données personnelles? Pourquoi détient-elle des données? Quand recueille-t-elle des données?
- Pratiques externes :Quels tiers ont accès aux données?
- Personnes concernées :Comment l’entreprise interagit-elle avec les personnes concernées (les personnes qui fournissent des données)?
- Processus :Quels sont ses processus internes en matière de sécurité de l’information, de notification des violations et de codes de conduite?
Après avoir répondu à ces questions initiales, il est souvent important de prendre du recul afin de réévaluer l’exposition globale de l’organisation aux risques. L’organisation est-elle réellement touchée par le RGPD?
Cette question pourrait être perçue comme une forme de déni, mais il n’en demeure pas moins crucial de prendre le temps d’y réfléchir lorsque vous devez concevoir un programme robuste. L’IAPP (International Association of Privacy Professionals) a relevé quelques exemples afin d’évaluer les répercussions du RGPD.
Si l’organisation est tenue de s’y conformer, elle doit établir un programme d’exécution cible en envisageant de manière stratégique les questions suivantes :
- Quels processus existants pourraient être utilisés (tels quels ou après de légères modifications)?
- Que devons-nous mettre en place (processus, main-d’œuvre et technologies)?
- À quels chefs de file devrions-nous avoir recours?
À la lumière des réponses aux questions précédentes, l’organisation sera en mesure de déterminer la portée et les exigences de son programme de conformité au RGPD. En outre, plutôt que de s’y attaquer sur tous les fronts, il pourrait être pertinent de traiter en priorité les éléments à risques élevés, puis de concevoir une feuille de route sur la protection des données qui pourra être maintenue dans l’avenir.
Avec la longue liste de tâches à effectuer pour se conformer au RGPD, il sera également crucial de tirer parti des processus actuels et d’intégrer la conformité au RGPD aux programmes existants afin de concevoir une plateforme durable.
Par exemple, le RGPD exige que toute violation de données personnelles soit déclarée aux autorités compétentes au plus tard dans un délai de 72 heures. De nombreuses sociétés disposent déjà de plans robustes d’intervention en cas d’incident, qui peuvent être ajustés ou modifiés afin de respecter les exigences du RGPD.
Il faut du temps pour arriver à une feuille de route concise de conformité au RGPD. Toutefois, un programme bien pensé et personnalisé sera durable à long terme et ne croulera pas sous son poids.