Sélectionner une page

Démêler la complexité du RGPD avec le BPM

par Meng Guan

Contexte – Qu’est-ce que le RGPD?

La sécurité des données est à l’honneur depuis des années, car les gens sont de plus en plus prudents quant à la confidentialité de leurs données. En réponse, l’Union européenne (UE) a adopté le règlement général sur la protection des données ( RGPD ), qui est entrée en vigueur le 25 mai 2018 après une période de grâce de deux ans. Cette législation incorpore un certain nombre d’exigences strictes pour certaines organisations afin de renforcer leur protection des données, ou elles peuvent encourir des sanctions allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel, selon le montant le plus élevé.

Bien que le RGPD puisse sembler être un «enfer de la conformité», son objectif essentiel est de formaliser efficacement quand, pourquoi, où et comment les données personnelles de vos clients européens sont utilisées et traitées une fois qu’elles sont collectées et stockées. La mise en œuvre des 99 articles et 173 considérants du RGPD n’est pas un jeu d’enfant, et une gouvernance globale de la sécurité des données est définitivement un must.

D’une part, les organisations doivent garder à l’esprit que le RGPD affecte non seulement les entreprises établies dans l’UE, mais également celles qui proposent des biens ou des services aux résidents de l’UE (oui, y compris le Royaume-Uni) et celles qui surveillent les comportements des résidents de l’UE. Par conséquent, de nombreuses organisations non européennes seront obligées de se conformer à ce cadre réglementaire basé sur l’UE.

D’autre part, les résidents de l’UE bénéficient de droits étendus relatifs à leurs données, y compris le droit à l’oubli, le droit à la portabilité des données et le droit d’être informé de l’utilisation de leurs données. Les organisations doivent désormais protéger les données de leurs clients tout au long du processus et respecter les droits susmentionnés. En ce sens, les propriétaires de données ont également le contrôle des données, ce qui signifie que les organisations sont obligées de remplir le mandat d’intégrité des données confié non seulement par les régulateurs, mais également par leurs clients.

Statistiques : 50% des entreprises ne sont PAS conformes au GDRP!

Implications – Avez-vous une stratégie RGPD réussie?

Pour être prêt pour la conformité, votre organisation a peut-être déjà pris des mesures pour formuler une stratégie RGPD, que ce soit en adoptant une approche interne (par exemple en créant une équipe de projet avec des spécialistes des risques, de la conformité et de l’informatique) ou externe (par exemple en engageant des conseillers juridiques ou des consultants). Quoi que votre organisation décide de faire, il semble que vous couvrez efficacement toutes vos bases en vous concentrant sur les données, n’est-ce pas? Mais attendez, êtes-vous sûr que le RGPD concerne vraiment les données et uniquement les données?

Le principe le plus important intégré dans le RGPD est la logique de la «confidentialité dès la conception et par défaut». Cela étant dit, le RGPD est plus que de simples données; il concerne l’ensemble de votre processus d’affaires, des activités en amont aux activités en aval, et de la stratégie à l’exécution. Le premier piège de bon sens que les organisations doivent éviter est de mettre le RGPD de côté au lieu de le mettre au cœur. Pour une stratégie RGPD réussie, les organisations ne doivent pas isoler le personnel lié aux données, tel que les DPO (responsables de la protection des données), les DSI (responsables de l’information), les RSSI (responsables de la sécurité de l’information), les équipes informatiques, les services juridiques, etc. reste de l’équipe. Au contraire, toutes les parties prenantes, y compris les opérations, l’informatique, le marketing, les ventes et le service client, doivent être consultées et impliquées dans le respect du RGPD. En termes simples, une stratégie RGPD réussie nécessite une approche multidisciplinaire.

Le deuxième piège du RGPD est le danger de le considérer simplement comme un obstacle à la conformité pour votre organisation au lieu d’une occasion en or de se démarquer des autres concurrents. En effet, le RGPD n’est pas un choix mais une obligation. Cependant, c’est aussi une chance d’acquérir, de convertir et de fidéliser une clientèle plus large. Sur cette base, il s’agit d’adopter un état d’esprit proactif et préventif par opposition à un état d’esprit réactif et correctif lors de la formulation de votre stratégie RGPD. Le raffinement des meilleures pratiques du RGPD, telles que les formulaires de consentement pour la collecte de données, la suppression des données non autorisées et expirées, et le signalement de toute violation de données ou utilisation abusive d’informations personnelles à temps, peut aider vos employés et clients à mieux comprendre les politiques de confidentialité des données. De ce point de vue, le RGPD peut être la cerise sur le gâteau de votre avantage concurrentiel et de l’héritage de votre marque.

En gardant cela à l’esprit, êtes-vous toujours convaincu de dire que vous êtes pleinement prêt pour le RGPD?

Peine : Jusqu’à 20 millions d’euros …

GDPR & BPM – Des compagnons de lit non séparés

Le RGPD n’est pas une tâche simple: collecter avec consentement et stocker les données sans duplication, définir différents niveaux d’autorisation pendant le cycle de vie des données, suivre et gérer les activités liées aux données, informer et signaler toute utilisation problématique des données… Le RGPD nécessite énormément de temps et de ressources, mais surtout , des processus structurés. C’est à ce moment que la gestion des processus métier ( BPM) entre en jeu.

Le BPM est un cadre multiforme offrant responsabilité, traçabilité, sécurité et collaboration à votre processus global. En se concentrant sur l’automatisation des processus, la séparation des tâches, gouvernance des données, gestion de la qualité, risque et la conformité (GRC), entre autres, le BPM vise en fin de compte à habiliter les organisations à améliorer continuellement leurs processus métier.

Dans l’ensemble, la conformité est une implication fondamentale du GDRP. Une stratégie BPM bien établie, couvrant l’amélioration des processus, la gestion des données, analyse de performance, et l’évaluation des risques peut être d’une importance vitale pour mettre en œuvre le RGPD. En fin de compte, le RGPD est comme de nombreux autres règlements, tels que HIPPA, FDA, FMI, Bâle III, ISO, etc. et le BPM dote les organisations de méthodes plus efficaces pour mieux relever les défis des exigences de conformité, des lois et de la gestion des risques en constante évolution.

Jusqu’à présent, il devrait être clair que le RGPD va au-delà des données elles-mêmes et réside dans tous les détails du processus. Le BPM est la viande et la pomme de terre pour une stratégie RGPD réussie, tandis que la conformité n’est que le fruit à portée de main. Néanmoins, les organisations doivent développer leur stratégie RGPD autour de leurs processus.

 

EPC – Catalyseur pour votre implémentation GDPR

Enterprise Process Center ® d’Interfacing ( EPC), une solution reconnue de premier plan BPM & GRC, propose une large gamme de modules allant de l’automatisation de processus, gestion de documents, analyse des performances, gouvernance des données, évaluation des risques, audit et contrôle. Au-delà d’un outil de modélisation de processus, l’EPC a aidé de nombreuses organisations à améliorer les processus, à automatiser les flux de travail, à documenter les données du système pour améliorer les performances, à atténuer les risques et à partager leurs connaissances. L’EPC sera la solution miracle qui permet :

  1. Conception et planification de processus:
  • Identification des processus clés liés aux données, cartographie du GDPR dans vos flux de travail organisationnels, impliquant tous les acteurs liés au GDPR
  • Traduire les processus en actions par le biais de la cartographie des processus, affichage de processus interdépendants pour améliorer votre productivité globale et votre intelligence de processus
  • Documenter les activités liées aux données, générer des pistes de vérification complètes pour la traçabilité et la conformité
  • Dissuader les violations réglementaires dans les opérations quotidiennes en mettant en œuvre des contrôles pour assurer une exécution transparente de tous les employés
  • Contrôle de version pour surveiller votre environnement de données, purge de données sécurisées pour gérer votre inventaire de données
  1. Sécurité des données et responsabilité :
  • Méthode CRUD (créer, lire, mettre à jour, supprimer) pour assurer la sécurité des données pendant tout le cycle de vie
  • Raci a élargi la matrice pour définir différents niveaux de sécurité pour les données basées sur différents rôles, règles et responsabilités (ségrégation des fonctions)
  • Modification en synchronisation des données dans l’ensemble de l’organisation afin de garantir la cohérence des données et la symétrie des informations
  • Plate-forme mobile réactive pour prendre en charge les flux de données dans tous les environnements d’affaires numériques et les points de terminaison
  • Notifications instantanées pour créer un dialogue, assurer la cohérence et accroître la confiance avec vos employés et vos clients
  1. Évaluation et atténuation des risques :
  • Visualiser et analyser toutes les activités liées aux données à travers différents points de vue et rapports afin de mieux détecter, dissuader et prévenir les risques
  • Prioriser les mesures d’atténuation des risques, formuler des contre-mesures basées sur des scores calculés pour rationaliser votre prise de décision
  • Établissement d’examens périodiques et suivi des différents niveaux de maturité pour une amélioration continue au cours de votre parcours GDPR

Lire plus de blogs

Logiciel de flux de travail EPC

Apprendre encore plus!

Brochure sur le flux de travail EPC

Des questions?