Sélectionner une page

RGPD - Règlement Général sur la Protection des Données

RGPD: Pas une option, mais une nécessité pour toute organisation de nos jours
Demander plus d'informations
Sox Conformité SOX Procédures SOX Documentation

Contexte du RGPD

Après que les préoccupations en matière de protection de la vie privée se soient intensifiées par le biais d’allégations du PDG de Facebook- Mark Zuckerberg en mars 2018, les questions de confidentialité des données ont pris une nouvelle tournure et ont attiré l’attention du monde entier.

Comme effet d’entraînement, les gens ont commencé à soulever leurs préoccupations individuelles en matière de protection de la vie privée. Les empreintes numériques actives et passives deviennent une question de discussion, ce qui a donné lieu à plusieurs questions.

L’idéologie de ce qui se trouve sous l’égide des données personnelles et ce qui n’est pas devenu un problème sérieux pour l’Union européenne aussi. C’est à ce moment-là que l’idée d’un règlement général sur la protection des données, ou RGPD, a été mise en évidence et a finalement mis à jour les lois sur la protection et le contrôle de la protection de la vie privée des données personnelles.

Fondements du RGPD

L’objectif ultime de ce règlement était de protéger légalement la vie privée des personnes de base tout en faisant de tels compromis qui ne nuisent pas excessivement aux organisations. Pendant ce temps, il a aidé les citoyens européens à reconnaître l’importance d’une utilisation correcte de leurs données personnelles. Voici les droits fondamentaux accordés aux sujets de données dans le cadre du RGPD.

Une personne relevant de l’autorité de l’UE aura le droit de:

  1. Avoir un accès complet et gratuit à ses données personnelles pour toute la vie
  2. Apporter des modifications pour corriger les données existantes
  3. Effacer les données avec toutes les traces possibles
  4. Restreindre le traitement de ses données
  5. Obtenir une notification en cas de violation
  6. Transférer ses données à une autre organisation
  7. S’opposer à toute décision relative au traitement, au stockage ou à la circulation, etc. de ses données
  8. Désapprouver les décisions automatisées prises par le contrôleur de données ou le processeur

Cela signifie qu’un sujet de données européen a maintenant le droit de se demander quoi, comment, où, pourquoi et quand ses données sont utilisées. Le sujet peut même demander au contrôleur de données et au processeur de supprimer, modifier, corriger, récupérer ou déplacer ses données d’un contrôleur de données à un autre.

Pourquoi la conformité est inévitable?

Pour mettre en œuvre le RGPD, l’UE a rendu les organisations légalement tenues de répondre aux demandes des sujets de données dans les 30 jours. Dans le cas contraire, les entreprises seront passibles d’une pénalité administrative pouvant aller jusqu’à 20 millions d’euros, soit 4% du chiffre d’affaires total, selon le montant le plus élevé. Ainsi, chaque entreprise touchée par le RGPD est maintenant tenue de répondre aux demandes en vrac sur une base quotidienne.

Comme il n’y a pas de définition concrète de la conformité, il n’y a aucun moyen infaillible d’éviter les amendes. Les entreprises doivent se précipiter pour répondre à chaque demande, peu importe le temps, les coûts et les ressources supplémentaires qu’il faut.

Implications du RGPD pour les entreprises

Alors que le RGPD neutralisait les préoccupations du public européen, les organisations qui étaient contrôleur des données sont soudainement tombées sous la pression de la mise en œuvre de 9 articles plus 173 considérants dans le cadre du RGPD. L’impact « la confidentialité par défaut et par conception » était si fondamental que les modèles d’affaires, même les flux de travail de base, ont été perturbés. Les ententes de politique de confidentialité ne sont plus considérées comme un consentement puisque les contrôleurs de données doivent obtenir le consentement des sujets (c.-à-d. « opt-in » et non « opt-out ») pour une utilisation explicite et plus fréquente des données. En outre, si les organisations décident d’externaliser le traitement des données à un tiers, ces processeurs de données seront également tenus responsables, contrairement à DPD qui les a libérés de la responsabilité. Dans l’ensemble, le RGPD implique pour les entreprises que la seule façon de gérer cette situation est d’être pleinement conforme. Et pour ce faire, ils ont besoin d’une stratégie de RGPD efficace.

Principaux défis suivis par le RGPD

Selon l’Association internationale des professionnels de la protection de la vie privée (IAPP), les principaux obstacles auxquels sont confrontées les organisations pour se conformer au RGDP sont de rendre les données portables, oubliables et d’obtenir le consentement. Dans ce contexte, la définition de procédures commerciales optimisées peut être un défi pour les professionnels de la protection des données.

Certaines entreprises pourraient même passer de la productivité à la conformité aux processus, à la gouvernance des données et au contrôle de la qualité, car ces exigences sont les plus mises en évidence dans le RGPD.

Plus précisément, les principaux défis auxquels sont confrontées les entreprises sont les suivants :

Gestion du changement

Il est difficile et long d’apporter des changements structurels aussi importants dans les processus vivants et les systèmes hérités, en particulier pour les entreprises multinationales.

La Documentation

Les organisations doivent établir, documenter et tenir tous les registres des initiatives du RGPD, y compris les buts, les objectifs, les méthodologies, les règles, les règlements, les ressources, les tâches et les résultats.

Intégrité et normalisation des données

Des données complètes, de bonne qualité et normalisées sont à la base d’une stratégie RGPD solide. Toutefois, le stockage de nouvelles données, le raffinage des données existantes et l’intégration de différentes structures de données peuvent être très complexes.

Facteur humain inévitable

Les processus non structurés et la communication verbale peuvent rendre les données plus vulnérables aux fuites.

Frais généraux

La mise en place initiale et la formation continue de tous les employés pour gérer correctement et scientifiquement les processus pertinents du RGPD peuvent nuire à la productivité de base d’une entreprise, et même nuire aux revenus.

Identification et classification des données

Il peut être extrêmement déroutant de repérer les données légitimement requises pour le stockage, le traitement, la documentation et les rapports.

Rapidité des données

Le dé-couplage des données valides et obsolètes peut être approximatif puisque les organisations doivent décider quand les données deviendront inutiles selon différents cycles de vie des données.

Sécurité des données

Les organisations doivent garder les données légitimes, sécurisées et à jour tout en disposant de sauvegardes et de purges de données régulières, ainsi que pour maintenir différents droits d’accès aux données.

Audit et conformité

Des antécédents éprouvés de données collectées, stockées, utilisées, modifiées ou supprimées sont essentiels pour que toute organisation prouve sa conformité en cas de vérification.

Application de la loi en dehors du champ d’application de l'Union Européenne

Aussi facile que cela puisse paraître, il n’est pas facile de déterminer le RGPD sur quel sujet dans quel contexte. Une entreprise qui n’est pas présente en Europe pourrait traiter les données d’un client britannique, et elle doit déployer des mesures globales pour assurer la conformité. Il est encore plus difficile pour les multinationales d’avoir des stratégies différentes en place si d’autres lois similaires sont applicables dans diverses régions. Les organisations doivent trouver des motifs communs pour de multiples exigences réglementaires.

Tous ces défis ne sont pas une activité autonome assumée par votre DPO (agent de protection des données), CIO (directeur de l’information) ou CISO (directeur de la sécurité de l’information). Il a besoin d’une refonte globale de la stratégie et de la refonte des processus, qui acquièrent une attention particulière, un groupe de travail et des employés qualifiés pour répondre aux exigences du RGPD.

Un regard plus attentif sur les avantages de la résolution du RGPD avec BPM

Pour relever les défis auxquels sont confrontées les organisations et faire en sorte que la conformité au RGPD s’associe aux opérations quotidiennes d’une organisation, une approche axée sur les processus est la seule façon de mettre en œuvre, de gérer et de maintenir les initiatives du RGPD de la manière la plus efficace.

Cela étant dit, la gestion des processus d’affaires(BPM) est une approche puissante qui est en mesure de relever tous les défis susmentionnés de RGPD. Les outils BPM peuvent être facilement intégrés dans le cadre de processus d’affaires existant de l’organisation et étendre chacun des 7 piliers de RGPD à la hiérarchie des processus d’affaires, transformant les activités commerciales asynchrones et les flux de travail fragmentés en processus bien conçus et efficaces conformes aux définitions du RGPD. Cela permettra également de s’assurer que tous les nouveaux processus introduits ou les processus existants en cours de modification en raison du RGPD seront pleinement conformes.

De cette façon, la gestion et la maintenance continues deviendront plus faciles, et les responsabilités seront claires. En fin de compte, l’optimisation des processus, la gestion des risques et la conformité réglementaire sont les objectifs communs de BPM et de RGPD.

La méthodologie BPM peut augmenter la productivité de l’entreprise de façon exponentielle à l’aide de certains outils et applications BPM disponibles sur le marché, offrant de nombreuses fonctionnalités de base et complémentaires qui peuvent être intégrées aux exigences de conformité.

Voici quelques caractéristiques saillantes des outils BPM et de leur correspondance avec RGPD :

Analyse d’impact

Les outils BPM sont en mesure de fournir une analyse d’impact ou un diagramme d’impact qui aidera à identifier tout processus et artefact à être touché en raison de RGPD. Cela permettra de s’assurer que les programmes de conformité du RGPD peuvent être mis en œuvre d’une manière limitée dans le temps.

Suivi et analyse

Les outils BPM peuvent vous aider à visualiser les activités en cours et à renforcer les collaborations inter-départements. Ils surveilleront le flux de données dans un référentiel commun partagé qui permet une sécurité complète, une traçabilité complète et divers niveaux d’accès. Les contrôleurs de données et les gestionnaires d’entreprise peuvent générer des pistes d’audit pour s’assurer que tout est sur la bonne voie.

Propriété des données fondée sur la ségrégation des droits

Chaque utilisateur de l’outil BPM se verra attribuer des rôles et des responsabilités clairs pour chaque processus, tâche, ressource, réglementation, règle, document, etc. Le rendement des employés sera quantifié. Par conséquent, l’évaluation deviendra plus facile et des améliorations pourront être facilitées. Une telle propriété de données permettra éventuellement d’habiliter le travail de vos DPO.

Cycles d’approbation et paramètre de sécurité

Les messages d’approbation et les interactions au niveau du sol peuvent être automatisés via le portail BPM pour obtenir le consentement concret du traitement des données. Les cycles d’approbation s’assurent que les droits de vos personnes seront protégés automatiquement et intrinsèquement.

Flexibilité et accessibilité

Un outil BPM inclusif peut importer et exporter vos données à partir/vers différentes bases de données, permettant un transfert de données flexible, précis et sûr. Il convient de mentionner que de nombreux outils BPM sont responsables mobiles, permettant un accès sans tracas à vos données n’importe quand, n’importe où.

Notifications et alertes

Les outils BPM garantissent que les personnes responsables et responsables impliquées dans un processus seront automatiquement notifiées afin d’accomplir leurs tâches, qu’il s’agisse de l’approbation ou du rejet d’une action, en temps opportun et de manière rapide. Ces alertes en temps réel seront extrêmement utiles en cas d’utilisation abusive ou de violation de vos données sensibles.

Piste d'audit

De nombreux outils BPM appuient de nombreux outils bpm une piste complète de vérification des changements apportés aux processus opérationnels ainsi qu’aux artefacts connexes. Une telle fonctionnalité aidera les propriétaires de processus d’entreprise à maintenir l’historique des modifications et à revenir aux versions précédentes si nécessaire.

Collaboration

Pour s’assurer que toutes les exigences (applicables à l’organisation cliente) du RGPD sont traitées, il est cardinal que les changements de processus soient effectués sur la base d’une collaboration interfonctionnelle afin que toutes les remises soient correctement cartographiées et qu’il y ait un consensus complet dans le processus remanié.

Désapprendre et Réapprendre

Pour être conforme au RGPD, la direction et les employés d’une organisation devront subir un non-apprentissage et un réapp apprentissage importants des processus d’affaires. Par conséquent, un outil BPM basé sur le référentiel peut fournir une valeur significative pour assurer l’alignement des personnes et des processus, en facilitant la conservation des connaissances ainsi que le partage des meilleures pratiques.
Pour en savoir plus sur la façon dont BPM peut sauvegarder vos initiatives RGPD, consultez notre blog.

Comment Interfacing peut aider

L’Enterprise Process Center – Catalyseur pour votre implémentation du RGPD

L’Enterprise Process Center® d’Interfacing(EPC),une solution BPM & GRC reconnue, offre un large éventail de modules allant de l’optimisation des processus, de la gestion des documents, de l’analyse des performances, de la gouvernance des données, de l’évaluation des risques, à l’audit et au contrôle. Au-delà d’un outil de modélisation de processus, l’EPC a aidé de nombreuses organisations à améliorer les processus, à automatiser les flux de travail, à documenter les données du système pour améliorer les performances, à atténuer les risques et à partager leurs connaissances. L’EPC sera la solution miracle qui permet :

1. Conception et planification des processus :

Identification des processus clés liés aux données, cartographie du RGPD dans vos flux de travail organisationnels, impliquant tous les acteurs liés au RGPD

  • Traduire les processus en actions par le biais de la cartographie des processus, affichage de processus interdépendants pour améliorer votre productivité globale et votre intelligence de processus
  • Documenter les activités liées aux données, générer des pistes de vérification complètes pour la traçabilité et la conformité
  • Dissuader les violations réglementaires dans les opérations quotidiennes en mettant en œuvre des contrôles pour assurer une exécution transparente de tous les employés
  • Contrôle de version pour surveiller votre environnement de données, purge de données sécurisées pour gérer votre inventaire de données

 

2. Sécurité et responsabilisation des données :

  • Méthode CRUD (créer, lire, mettre à jour, supprimer) pour assurer la sécurité des données pendant tout le cycle de vie
  • Raci a élargi la matrice pour définir différents niveaux de sécurité pour les données basées sur différents rôles, règles et responsabilités (ségrégation des fonctions)
  • Modification en synchronisation des données dans l’ensemble de l’organisation afin de garantir la cohérence des données et la symétrie des informations
  • Plate-forme mobile réactive pour prendre en charge les flux de données dans tous les environnements d’affaires numériques et les points de terminaison
  • Notifications instantanées pour créer un dialogue, assurer la cohérence et accroître la confiance avec vos employés et vos clients

3. Évaluation et atténuation des risques :

  • Visualiser et analyser toutes les activités liées aux données à travers différents points de vue et rapports afin de mieux détecter, dissuader et prévenir les risques
  • Prioriser les mesures d’atténuation des risques, formuler des contre-mesures basées sur des scores calculés pour rationaliser votre prise de décision
  • Établissement d’examens périodiques et suivi des différents niveaux de maturité pour une amélioration continue au cours de votre parcours RGPD

Le RGPD en bref

Le RGPD perturbe le paysage futur de la gouvernance et de la conformité des données – l’UE impose zéro violation des données à toutes les entreprises qui traitent de sujets européens.

Grâce à des outils BPM avancés, les entreprises peuvent se concentrer sur la qualité et la sécurité sans sacrifier la productivité et l’efficacité. Les outils BPM sont une tactique essentielle qui permet aux clients européens de faire confiance à leurs processeurs et contrôleurs de données, et éventuellement d’augmenter la fidélité et la rétention d’une marque.

Les outils BPM peuvent être une solution tout-en-un à l’ensemble géant de problèmes suivis par le RGPD, et il ne fait aucun doute que les entreprises devraient commencer à mettre en œuvre de tels outils pour ouvrir la voie vers un avenir meilleur.

Découvrez comment nous pouvons vous aider à gérer la conformité

Gestion de la conformité

Découvrez comment votre organisation bénéficie d’une solution Interfacing.

L’un des principaux facteurs de différenciation d’Interfacing par rapport aux autres sociétés de conseil en transformation numérique et d’affaire est qu’Interfacing propose sa propre solution technologique innovante pour soutenir les programmes de transformation. Les solutions logicielles d’Interfacing offrent la transparence nécessaire pour réduire la complexité, améliorer l’exécution et faciliter l’agilité et le changement.

Le système de gestion intégré d’Interfacing est un guichet unique pour la gestion des programmes de transformation. Nous savons que c’est un environnement très concurrentiel. C’est pour cette raison que notre force réside dans notre engagement à maintenir la flexibilité tout au long du cycle de vie du projet que ce soit dans nos produits innovants ou dans notre équipe d’experts.

Lire la brochure EPC