Blog

Vous avez atteint la conformité au RGPD - et maintenant?

posté par sur Juillet 23, 2018

asset_blog_youve_achieved_GDPR_compliance_now_what

Pour les organisations concernées par le règlement général sur la protection des données (RGPD), les mois et les semaines précédant le 25 mai ont été rapides et furieux. À l'approche de l'échéance, l'objectif était simple: faire tout ce qui est nécessaire pour atteindre la conformité.

Maintenant que la date limite est passée, à bien des égards, la pression est relâchée. Mais d'une autre manière, ce n'est que le début. Lorsque vous vous installez dans la conformité au jour le jour, vous pourriez constater que les tactiques qui vous ont conduit à la ligne d'arrivée ne sont pas les meilleures solutions pour vos besoins continus.

«Les entreprises recourent à des contrôles temporaires et à des processus manuels pour assurer la conformité jusqu'à ce qu'elles mettent en œuvre des solutions informatiques plus permanentes… Beaucoup de travail reste à faire après la date limite de mai si les entreprises veulent surmonter de tels défis et développer des solutions durables à long terme. "

—McKinsey & Company

Pour vous assurer que vous pouvez maintenir la conformité au RGPD à long terme, vous devrez peut-être approfondir quatre domaines clés: le cadre de conformité, la gestion des incidents, la gestion des demandes et la visibilité des cadres.

Cadre de conformité

Dans la course pour respecter le délai de conformité, vous avez peut-être reconstitué des solutions manuelles et des solutions de contournement, comme des feuilles de calcul. Mais continuer à utiliser des méthodes de gouvernance et de gestion inefficaces et ad hoc vous exposera à un risque indu.

Les entreprises peuvent être condamnées à une amende allant jusqu'à 4% de leur chiffre d'affaires annuel mondial ou 20 millions d'euros, selon le montant le plus élevé, si elles ne respectent pas les normes du RGPD.

Compte tenu des amendes potentiellement dévastatrices associées à la non-conformité, les feuilles de calcul ne sont tout simplement pas une solution durable. Vous avez besoin d'un moyen simple de mapper les articles du RGPD - comme ceux détaillant le consentement (7), l'accès aux données (15, 16, 17, 20), la protection (25) et la sécurité (32) - aux contrôles de l'entreprise pour vous assurer que vous avez vos bases couvert.

Gestion des incidents

Dans votre hâte de vous conformer, vous utilisez peut-être des solutions provisoires, comme le fait de doubler l'utilisation de votre logiciel d'assistance, pour gérer les événements et les incidents du RGPD. Mais en cas d'incident réel, l'identification instantanée, le verrouillage de l'accès aux données d'incident et des communications rapides sont primordiaux.

«Les entreprises doivent également s'assurer que les processus conçus lors de la préparation du RGPD fonctionnent dans la pratique et produisent les résultats escomptés.» —McKinsey & Company

Conformément à l'article 33, vous devez fournir une notification dans les 72 heures suivant la violation des données personnelles à l'autorité de contrôle. En outre, vous devez communiquer sans délai indu à la personne concernée les infractions à haut risque, comme indiqué à l'article 34. Pour vous protéger contre des amendes supplémentaires (jusqu'à 2% du chiffre d'affaires mondial annuel) en cas de non-respect de ces exigences, vous avez besoin d'un processus fiable pour garantir que tous les événements et incidents sont gérés, communiqués et vérifiables.

Gestion des demandes

Bien qu'il comporte de nombreuses couches, le GDPR concerne en fin de compte le contrôle des données personnelles. Fournir à vos personnes concernées un accès aux données que vous stockez à leur sujet et leur donner le contrôle sur la façon dont ces données sont utilisées (articles 15 à 20) sont les fondements de la réglementation.

«… Les entreprises devront s'assurer qu'elles disposent d'un personnel suffisant, d'une formation adéquate, d'un processus approprié et d'un système de billetterie équipé pour traiter les demandes connexes.» —McKinsey & Company

Comme il s'agit également de la pièce du puzzle de conformité la plus confrontée aux consommateurs, votre capacité à activer et à gérer l'accès aux données personnelles est essentielle. Bien que les conseils sur la façon de procéder peuvent être flous, les règles d'engagement sont simples. Ceux qui offrent la meilleure expérience client via un simple portail en libre-service gagneront. Et ceux qui ne risquent pas de perdre des clients au profit de concurrents plus compétents.

Visibilité des cadres

Les exigences du RGPD relatives aux analyses d'impact sur la protection des données (DPIA) - comme celles détaillées dans les articles 35, 37, 38 et 39 - ne peuvent pas être maintenues en prenant des raccourcis. Si vous comptez sur des systèmes disparates et / ou manuels pour certains aspects du RGPD, vous serez également mis au défi par les audits de données réguliers, les examens et les exercices de gestion des données nécessaires pour maintenir la conformité.

Vous devez fournir à la direction générale et à votre délégué à la protection des données (DPO), le cas échéant, une vue unifiée de la gouvernance et de la gestion de la conformité. Au-delà de la conformité, votre visibilité sur le nombre et les types de demandes et d'incidents que vous gérez est essentielle pour effectuer des évaluations des risques et une analyse des écarts en continu, afin que vous puissiez rationaliser et affiner votre posture de conformité.
Conclusion

En tant que professionnel de l'informatique, vous n'êtes pas étranger au défi de la confidentialité et de la protection des données. Mais le RGPD ajoute une toute nouvelle couche à vos exigences en matière de gouvernance de la sécurité et de gestion des risques. Plus que jamais, votre centre de services et vos procédures de sécurité doivent être étroitement liés.

En XNUMX, le Solution de gestion de la sécurité de l'information (ISMS) Cherwell intègre un ensemble de capacités de gestion de la sécurité d'entreprise qui répondent aux demandes des responsables de la sécurité et des centres de services. Lorsque vous comptez sur le SMSI Cherwell pour la gouvernance et la gestion de vos données, vous pouvez:

  • Simplifiez la mise en correspondance des articles du RGPD avec vos contrôles de sécurité.
  • Rationalisez votre conformité à la sécurité, en allégeant le fardeau de votre prochain audit.
  • Accélérez la gestion des événements de sécurité et des incidents pour améliorer votre conformité.
  • Étendez les capacités du portail libre-service pour fournir un accès à la personne concernée.
  • Automatisez les évaluations des risques pour mieux anticiper et atténuer les risques.

Vous avez atteint la conformité au RGPD. Il est maintenant temps de le rendre durable. 

Découvrez la solution de gestion de la sécurité de l'information de Cherwell.

Apprenez maintenant

 

Citations de McKinsey & Company provenant de: Daniel Mikkelsen, Henning Soller Malin, Strandell-Jansson, Marie Wahlers, «GDPR compliance after May 2018: A persistent challenge», McKinsey & Company, avril 2018.

En savoir plus sur nos mises à jour des articles de Cherwell Knowledge