Pour aider les entreprises et organisations à se mettre en conformité avec le RGPD, Règlement Général européen sur la Protection des Données à caractère personnel, les trois organisations professionnelles Cigref, AFAI et TECH IN France viennent d’éditer un guide de recommandations pratiques.
Représentant respectivement les entreprises et administrations, les auditeurs et conseils en systèmes d’information externes ou internes ainsi que les éditeurs de logiciels, le Cigref, l’AFAI et TECH IN France ont travaillé sur la mise en œuvre opérationnelle des règles de protection des données personnelles dans les entreprises, avec la contribution active de quatre cabinets d’avocats (August Debouzy, De Gaulle Fleurance & Associés, Osborne Clarke et Samman), et un échange régulier avec la CNIL. Leurs travaux ont été rendus publics sous la forme d’un guide librement téléchargeable. Des outils pratiques pour accompagner les entreprises dans leur projet de mise en conformité RGPD, qui devra être mis en œuvre au plus tard le 25 mai 2018.
Un questionnaire pour s’autoévaluer
La première partie est un guide d’auto-évaluation sous la forme d’une checklist complète pour vérifier si l’entreprise est en conformité avec le GDPR. Via cinquante questions (gouvernance, métiers et SI), on évalue son niveau de conformité et on identifie les domaines dans lesquels un processus d’amélioration est à conduire. La plupart des directions, du marketing au RH, en passant bien entendu par le SI et sécurité ou l’e-commerce, sont concernées : “Il est primordial que toutes les directions ou les équipes citées dans ce chapitre soient impliquées dans la démarche et puissent apporter leur contribution en ce qui concerne les pratiques relatives aux données personnelles. Ainsi, c’est grâce à l’investissement et à la collaboration efficace de tous les acteurs que l’entreprise pourra acquérir une vision complète et globale des traitements de données personnelles mis en œuvre tout en respectant le périmètre de responsabilité de chacun des acteurs”, écrivent les trois organisations professionnelles.
L’opérationnel pour le SI et le juridique
Le deuxième chapitre liste les recommandations et les mesures à mettre en œuvre pour assurer la conformité du système d’information : identification des composants du SI qui génèrent ou véhiculent des données personnelles, inventaire des risques afférents à la sécurité, à la protection des données personnelles et à celle des droits des personnes, enfin identification des mesures et recommandations potentiellement applicables en fonction de chaque typologie de risques. “Le système d’information porte l’activité de l’entreprise. Il est aussi l’élément central de la mise en conformité avec le GDPR et les autres réglementations. La conformité au GDPR est un projet d’entreprise, qui engage tous les métiers, et qui doit mesurer l’impact sur les différentes briques du SI, dont certaines sont en place depuis des années, voire sur son architecture”, indiquent les trois organisations.
Le dernier chapitre fournit les outils juridiques indispensables à une application réussie du RGPD : accountability, outils de confiance, gestion contractuelle des obligations et responsabilité. Elle indique les responsabilités du DPO et les compétences nécessaires.