Enjeux

Avec l'adoption du Règlement général sur la protection des données (RGPD) en Europe, les entreprises sont désormais confrontées aux conséquences des nouvelles législations en matière de protection des données à travers le monde. La loi californienne sur la protection des données personnels des consommateurs (CCPA) est en cours d'élaboration, alors que dans le monde entier, des législations locales se préparent pour être adaptées aux nouveaux principes introduits par le RGPD et assurer la libre circulation de l'information.
Les activités de traitement des données à caractère personnel devront être identifiées et documentées de manière approfondie, leur risque évalué et traité afin de démontrer la conformité aux exigences du RGPD, de la CCPA et des autres lois sur la protection des données.

Au-delà de la démonstration de la conformité, les organisations devront adopter le principe de “protection des données dès la conception” (Privacy by design), récemment introduit par le RGPD. Les processus métier et les applications existants qui manipulent des données personnelles devront être contrôlés et mis à jour, et ceci sans entraver l’activité de l’entreprise. Les projets IT devront intégrer une évaluation de leurs impacts sur les droits des personnes. En contrepartie, toute modification des activités de traitement devra à son tour être remontée dans le processus métier et les applications correspondants qui manipulent les données.

Solutions

La solution logicielle HOPEX Privacy Management permet aux Data Protection Officer (DPO) ainsi qu’aux différentes parties prenantes de définir une stratégie de mise en conformité et de l’exécuter au travers d’une approche en 6 étapes, d’un espace de travail collaboratif et d’outils adaptés. La documentation et les modèles de processus sont centralisés et actualisés dans un référentiel commun et partagé, qui permet par la suite de produire automatiquement les documents nécessaires pour démontrer la conformité.

La solution intègre également du contenu réglementaire mis à jour régulièrement, ainsi que des modèles de documents juridiques pour documenter et accélérer la mise en place des plans d'actions correctifs. HOPEX Privacy Management repose sur la plateforme HOPEX qui permet d’établir les interdépendances entre les personnes, les processus et la technologie au travers de modèles détaillés de processus métier.

Grâce aux capacités avancées de modélisation des solutions HOPEX, les informations concernant les données privées peuvent être intégrés directement lors de la création de nouveaux processus liés au parcours client, pour conforter leur confiance et ainsi transformer GDPR en réel avantage compétitif pour l’entreprise.

Préparation du plan de gestion et de protection des données

 

  • Etape 1 : Réaliser une étude préliminaire : Réalisez une étude préliminaire des impacts du Règlement sur l’organisation en impliquant toutes les parties prenantes. Catégorisez les données en fonction de leurs objectifs et de leurs niveaux de criticité pour chaque activité et identifier les opérations de traitement qui nécessitent l’élaboration d’une analyse d’impact relative à la protection des données (DPIA).
  • Etape 2 : Identifier les priorités de mise en conformité : Recoupez les catégories de données avec les processus métier et identifiez les processus qui traitent des données personnelles sensibles. A partir de cette analyse, priorisez les actions de conformité à mettre en place.
  • Etape 3 : Effectuer une analyse d’impact relative à la protection des données (DPIA) : Générez automatiquement une DPIA qui comprend la documentation des processus métier, l’évaluation des risques des opérations de traitement de données sensibles et la description des mesures prises pour limiter les risques.

 

Implementation du plan de gestion et de protection des données

 

  • Etape 4 : Exécuter le plan d’action de mise en conformité : Sécurisez les processus métier et les applications qui traitent ou contrôlent des données personnelles sans entraver l’activité ou sacrifier l’agilité de l’entreprise. Documentez et communiquez ces informations à l’ensemble des parties prenantes.
  • Etape 5 : Gérer et suivre les incidents : Offrez la possibilité à toute personne dans l’entreprise de signaler un incident. Le DPO et les parties prenantes peuvent examiner de manière centralisée l’ensemble des rapports d’incidents, en évaluer la gravité et définir si des actions doivent être mises en place pour garantir la protection des données à caractère personnel.
  • Etape 6 : Démontrer la conformité : Générez automatiquement les documents clés qui démontrent la mise en conformité : le registre des traitements, le compte rendu des violations de données et les DPIA des activités de traitements à hauts risques.