10 conseils pratiques pour assurer la conformité des délégués à la protection des données

Le rôle des délégués à la protection des données (DPD) est l’un des rôles les plus exigeants de l’entreprise. Il y a plus de données dans les affaires que jamais auparavant et la valeur de ces données en termes de connaissance de clientèle n’a jamais été aussi élevée.

Mais garder ces données sécurisées et confidentielles devient également un défi croissant. La sophistication et le professionnalisme croissants des cybercriminels font que les rançongiciels et le piratage de données sont en augmentation, tandis que le futur Règlement général sur la protection des données (RGPD) prévoit que toutes les organisations emploient un DPD.

Chaque DPD sera chargé de superviser la stratégie de protection des données et la mise en œuvre de la mise en conformité, et aura donc besoin des compétences, de l’expérience et des connaissances nécessaires. Le poste est stratégique, exigeant et crucial pour le RGPD.

Les conseils sur la manière dont les organisations devraient aborder la conformité au RGPD ne manquent pas. Chez OXIAL, nous avons mis en place notre méthode en cinq étapes pour se préparer au RGPD, en nous appuyant sur notre vaste expérience dans le domaine de la conformité. Ces étapes sont destinées à toute personne concernée par le RGPD, mais nous avons considéré de proposer aux DPD des conseils spécifiques et pratiques sur la façon dont ils peuvent garantir la mise en conformité.

1. Exécuter votre programme d’évaluation initiale à l’aide de modèles préchargés ou importer des résultats obtenus 

L’évaluation initiale (qui devrait vraiment être le départ de tout projet de mise en conformité) doit être robuste et précise, et idéalement basée sur les données réelles détenues par votre organisation. Utilisez des modèles préchargés ou, si cela n’est pas possible, importez les résultats existants, car cela vous donnera une évaluation beaucoup plus précise de ce qui est requis, et des priorités du DPD.

2. Affecter et effectuer le suivi des mesures prédéfinies et des actions correctives

Alors que le DPD assumera la responsabilité globale de nombreux éléments du RGPD, une équipe plus large sera bien sûr également impliquée. Toutes les mesures prédéfinies et correctives doivent être affectées à un propriétaire au sein de l’entreprise, et les suivis doivent être effectués au besoin, afin de s’assurer que ce qui doit être fait l’est effectivement.

3. Produire des rapports de conformité en un clic à chaque fois que cela est nécessaire

Il ne peut s’agir d’un processus complexe d’accès et de production de rapports de conformité, car ceux-ci peuvent être exigés à tout moment. La démonstration de la conformité au RGPD est au cœur de ses objectifs, de sorte que les DPD doivent être capables de produire des rapports rapidement et facilement, à tout moment, si un régulateur l’exige.

4. Identifier et qualifier les structures de données à caractère personnel gérées par des applications, des programmes batch et des flux de données

Dans une grande entreprise ou même une entreprise de taille moyenne, il pourrait littéralement y avoir des centaines d’applications avec des structures de données à caractère personnel. Avec un environnement aussi vaste et complexe à gérer et à comprendre, l’identification et la qualification précises de ces informations sont d’une importance primordiale.

5. Documenter les processus d’affaires manipulant les structures de données à caractère personnel, identifier les propriétaires

Nous avons déjà publié des articles sur l’importance des processus dans la conformité, mais on peut insister suffisamment sur ce point. Ce sont les processus qui influent réellement sur la façon dont les données sont utilisées, gérées et consultées. La documentation de ces processus est donc essentielle pour identifier les risques du RGPD, tout comme l’attribution de la propriété.

6. Évaluer les niveaux de criticité des données à caractère personnel et les moyens de sécurité demandés

La prochaine étape pour un DPD est d’évaluer à quel point chaque structure de données à caractère personnel est critique – certains sont plus vulnérables que d’autres. Une fois cette opération terminée, des niveaux de sécurité différents et appropriés peuvent être affectés aux données dans toute l’organisation.

7. Superviser le déploiement des mesures de sécurité avec des alertes sur les retards

Avec les données, c’est une question de « quand » et non de « si » elles seront piratées, et les DPD doivent donc être prêts pour une telle éventualité. Cela implique de savoir quelles données sont protégées à un moment donné et d’être averti de tout retard de sécurité.

8. Gérer les registres de structure de données à caractère personnel en ajoutant des étapes de projet dédiées, mettre à jour les procédures avec des déclarations légales spécifiques 

L’utilisation des données à caractère personnel est la principale cible des régulateurs, de sorte que les structures de données à caractère personnel de votre organisation doivent être entretenues à tout moment. La méthodologie d’OXIAL est basée sur l’utilisation d’experts tiers qui comprennent la conformité et les exigences légales, ce qui permet de mettre à jour automatiquement les procédures avec les mentions légales correctes au lieu d’avoir à le faire manuellement.

9. Gérer les réclamations, demandes et incidents de sécurité des personnes concernées 

Les éléments clés du RGPD sont les droits supplémentaires désormais détenus par les personnes concernées. Ces dernières ont maintenant le droit à l’oubli, à la portabilité des données et à l’information de toute violation de données, ainsi qu’à la modification ou au transfert de leurs données personnelles. Cela doit être géré par le DPD et les processus mis en place qui en font une tâche rapide et indolore.

10. Rapport à la direction et au régulateur 

La dernière astuce pour les DPD est de pouvoir faire des rapports sur tout le dur labeur effectué pour permettre la mise en conformité du RGPD. Qu’il s’agisse d’un régulateur ou d’une équipe de direction (le RGPD devrait être une priorité pour la direction), les rapports doivent être précis, concis et ne pas être une perte de temps et de ressources.

Ces dix conseils sont réalisables pour un DPD, mais encore plus faciles à réaliser lorsqu’il est équipé des bons outils. La solution OXIAL GDPR EXPRESS a été conçue pour aider les DPD à gérer le RGPD et peut s’occuper de tous les domaines décrits ci-dessus – elle est notamment une solution unique pour coordonner toutes les actions et tous les composants impliqués dans la gestion des données à caractère personnel. Pour plus d’informations concernant GDPR EXPRESS, veuillez nous contacter ici.

 

Share This!