Enjeux

Le Règlement Général sur la Protection des Données (RGPD) - ou General Data Privacy Regulation (GDPR) en anglais - crée un besoin urgent pour l’entreprise d’adapter le traitement et la gestion des données personnelles. Cette nécessité impacte l’ensemble de l'organisation.

De nouvelles fonctions peuvent apparaître, comme celle de Responsable de la Protection des Données – ou Data Privacy Officer (DPO) en anglais-, dont le rôle est de superviser les activités liées à la protection des données personnelles et d’en garantir la gouvernance.

Les processus métier existants devront être mis à jour, et ceci sans entraver l’activité de l’entreprise. Les projets IT devront intégrer une évaluation de leurs impacts sur les droits des personnes. De nouveaux processus métier devront être mis en place pour répondre à ces droits ainsi qu’aux différentes exigences du règlement, telles que la communication dans les 72 heures de toute violation de la sécurité ou de la vie privée. La conception d’un système de traitement des données et de leur protection par défaut (en anglais Privacy by design) devra être mis en place. L’entreprise devra enfin être capable de démontrer sa conformité à l’autorité réglementaire.

Solutions

La solution logicielle HOPEX GDPR permet aux Data Privacy Officer (DPO) ainsi qu’aux différentes parties prenantes de définir une stratégie de mise en conformité et de l’exécuter au travers d’une approche en 6 étapes, d’un espace de travail collaboratif et d’outils adaptés. La documentation et les modèles de processus sont centralisés et actualisés dans un référentiel commun et partagé, qui permet par la suite de produire automatiquement les documents nécessaires pour démontrer la conformité.

La solution intègre également du contenu réglementaire mis à jour régulièrement, ainsi que des modèles de documents juridiques pour documenter et accélérer la mise en place des plans d'actions correctifs. HOPEX GDPR repose sur la plateforme HOPEX qui permet d’établir les interdépendances entre les personnes, les processus et la technologie au travers de modèles détaillés de processus métier.

Grâce aux capacités avancées de modélisation des solutions HOPEX, les informations concernant les données privées peuvent être intégrés directement lors de la création de nouveaux processus liés au parcours client, pour conforter leur confiance et ainsi transformer GDPR en réel avantage compétitif pour l’entreprise.

Planification du Règlement Général de Protection des Données (ou GDPR)

 

  • Etape 1 : Réaliser une étude préliminaire : Réalisez une étude préliminaire des impacts du Règlement sur l’organisation en impliquant toutes les parties prenantes. Catégorisez les données en fonction de leurs objectifs et de leurs niveaux de criticité pour chaque activité et identifier les opérations de traitement qui nécessitent l’élaboration d’une Etude d’Impact sur la Vie Privée (EIVP).
  • Etape 2 : Identifier les priorités de mise en conformité : Recoupez les catégories de données avec les processus métier et identifiez les processus qui traitent des données personnelles sensibles. A partir de cette analyse, priorisez les actions de conformité à mettre en place.
  • Etape 3 : Effectuer une Etude d’Impact sur la Vie Privée (EIVP) : Générez automatiquement une Etude d’Impact sur la Vie Privée (EIVP) qui comprend la documentation des processus métier, l’évaluation des risques des opérations de traitement de données sensibles, et la description des mesures prises pour limiter les risques.

 

Exécution du Règlement Général de Protection des Données (ou GDPR)

 

  • Etape 4 : Exécuter le plan d’action de mise en conformité : Sécurisez les processus métier et les applications qui traitent ou contrôlent des données personnelles sans entraver l’activité ou sacrifier l’agilité de l’entreprise. Documentez et communiquez ces informations à l’ensemble des parties prenantes.
  • Etape 5 : Gérer et suivre les incidents : Offrez la possibilité à toute personne dans l’entreprise de signaler un incident. Le DPO et les parties prenantes peuvent examiner de manière centralisée l’ensemble des rapports d’incidents, en évaluer la gravité et définir si des actions doivent être mises en place pour garantir la protection des données à caractère personnel.
  • Etape 6 : Démontrer la conformité : Générez automatiquement les documents clés qui démontrent la mise en conformité : le registre des traitements, le compte rendu des violations de données et les EVIP des activités de traitements à hauts risques.