GUIDE : Entreprises, les clés d’une application réussie du GDPR
A la suite de l’adoption du Règlement Général Européen sur la Protection des Données à caractère personnel (GDPR), trois organisations professionnelles représentant les entreprises et administrations utilisatrices (cigref), les auditeurs et conseils en systèmes d’information externes ou internes (afai) et les éditeurs de logiciels (TECH IN France) ont travaillé conjointement avec la contribution active de quatre cabinets d’avocats (August Debouzy, De Gaulle Fleurance & Associés, Osborne Clarke et Samman), et un échange régulier avec la CNIL, sur la mise en œuvre opérationnelle des règles de protection des données personnelles dans les entreprises.
Extrait du C.P. de TECH IN France >>
A l’occasion d’un colloque le 14 novembre auquel Olivier Roubin (Chef de produits chez Holy-Dis) a participé, les résultats des travaux de recherche menés par TECH IN France, le cigref et afai ont été publiés et analysés. Présentés sous forme d’un guide sur l’utilisation des données personnelles dans le système d’information, vous pouvez dès à présent le télécharger ci-contre.
Vous y retrouverez :
- Une checklist de 50 questions à se poser pour être en conformité, avec une identification des enjeux métiers, de gouvernance et de cybersécurité ;
- Une liste de plus de 300 mesures techniques et recommandations, pour traduire la conformité de manière opérationnelle dans les systèmes d’information. Cette liste se décline sur trois grands axes : la sécurité du SI, la protection des données et le droit des personnes ;
- Un outillage juridique pour se doter d’une gouvernance interne, des moyens de démonstration de la confiance et d’une gestion contractuelle adaptée.
Ces outils ont pour objectif d’accompagner dans la durée les entreprises dans leur projet de mise en conformité GDPR (adopté le 14 Avril 2016, le GDPR devra être mis en œuvre au plus tard le 25 mai 2018). (Lire notre sujet précédent sur le sujet >>)
Pourquoi cette réglementation est une opportunité ?
- Grandes comme petites entreprises s’accordent à dire que ce nouveau règlement n’est pas un frein à la croissance bien au contraire.
- Uniformiser la règlementation au sein de la Communauté Européenne est un moyen de renforcer les entreprise européennes face à leurs compétiteurs d’outre Atlantique.
- Un référentiel unique est forcément plus intéressant qu’un référentiel par état et donne à chacun les mêmes armes.
- En uniformisant la règlementation relative à la protection des données, chaque citoyen de la Communauté Européenne sera traité de la même manière quelle que soit l’origine géographique de l’entreprise dont il est le client.
La mise en conformité avec le GDPR est une opportunité de faire un état des lieux de son SI et de la façon dont les données sont gérées et protégées.
- Qui ? (Qui est le responsable de traitement, qui sont les sous-traitants ?)
- Quoi ? (Quelles DCP ?)
- Pourquoi ? (Finalité de traitement)
- Où ? (Hébergement / pays)
- Jusqu’à quand ? (Temps de conservation des données)
- Comment ? (Sécurité mise en place)