Le mois de mai 2018 a marqué le début de la mise en application de la législation relative à la confidentialité des données (Règlement général sur la protection des données (RGPD) ou General Data Protection Regulation (GDPR) en anglais). Grâce au grand nombre d’ateliers et de sessions de formation proposés, nous avons tous pu nous nous préparer à cette nouvelle ère.
Depuis le lancement de cette étape clé, la législation relative à la protection de la vie privée fait partie intégrante de la vie quotidienne. Qui plus est, l’attention croissante et la médiatisation du RGPD ont introduit une dimension de contrôle supplémentaire dans le monde de l’entreprise. Alors qu’autrefois les risques de violation de la vie privée étaient couverts par une clause de confidentialité incluse dans tout contrat avec des tiers, il faut désormais adopter une approche structurée pour adapter les contrôles à ces risques de violation.
Nous vous présentons encore une fois les principaux points d’une politique conforme au RGPD.
Organisation et politique relatives à la « protection de vos données »
Toute organisation est tenue de prendre les mesures de sécurité nécessaires. Plus les données sont sensibles, plus les données et les personnes concernées sont nombreuses, plus les mesures de sécurité doivent être strictes. Cette obligation force les organisations à réfléchir aux risques liés au traitement des données à caractère personnel et à adapter en conséquence les mesures de sécurité qu’elles prennent.
Bien qu’il ne soit pas requis dans le cadre du RGPD, un « code de conduite » constitue un outil de communication interne très utile. Ce document traduit la politique en directives claires que les collaborateurs doivent respecter dans le cadre du traitement des données à caractère personnel. Il vous permet d’informer avec clarté ces collaborateurs.
Registre des activités de traitement
Identifiez les données à caractère personnel dont votre entreprise dispose et l’endroit où ces données sont stockées et partagées. Ces informations sont regroupées dans un registre des activités de traitement.
Les éléments suivants doivent au moins être consignés :
- Qui traite les données ? Est-ce le responsable du traitement ou le sous-traitant ?
- Pourquoi les données sont-elles traitées ? Les finalités du traitement doivent être décrites en détail.
- Quelles sont les données traitées ? Il s’agit ici d’un aperçu des données à caractère personnel qui sont traitées.
- Où ces données sont-elles conservées ? Et avec qui ces données sont-elles partagées ?
- Combien de temps ces données sont-elles conservées ?
- Comment ces données sont-elles sécurisées ?
Plan de réponse en cas d’incident
Une fuite de données est toujours un événement imprévu. Il est donc important d’établir préventivement une procédure en vue de gérer efficacement les fuites de données. L’objectif de cette procédure est de vous permettre d’agir rapidement et de manière appropriée en cas de fuites de données.
Un plan de réponse en cas d’incident comprend les actions suivantes :
- Identifiez les activités et les ressources que vous souhaitez protéger ainsi que les éventuelles menaces.
- Déterminez les dommages que votre entreprise doit prendre en compte : les dommages que votre entreprise elle-même peut subir (l’arrêt des activités, la perte d’informations, l’atteinte à sa réputation, etc.) comme les dommages que des tiers peuvent encourir (responsabilités) sont importants à cet égard.
- Vérifiez si une obligation de notification incombe à votre entreprise.
- Préparez une stratégie de communication à l’attention des intéressés internes et à l’attention des clients, des fournisseurs et des autres partenaires externes.
Un bon plan est un plan qui a fait ses preuves ! Réévaluez et actualisez donc régulièrement les documents administratifs (registre du traitement, etc.).
Responsabilité
Chaque organisation agissant en tant que responsable du traitement doit justifier et documenter ses décisions dans le cadre du traitement des données à caractère personnel. Lorsque des décisions dans ce domaine sont prises, il est dès lors recommandé de les consigner, de les motiver et de les enregistrer dans un fichier centralisé, afin que ces décisions puissent être présentées à la première demande lors d’un éventuel audit.
Gestion des contrats
Contrôlez tous les contrats en cours. Renseignez-vous sur les modifications nécessaires à apporter aux contrats existants et veillez à ce que les prestataires de services avec lesquels collabore votre organisation sont en mesure de prouver qu’ils agissent conformément au RGPD. Ceci doit être garanti par un contrat écrit. Signez avec toutes les parties concernées un accord de traitement des données dans lequel vous convenez de la durée, de la description et des finalités du traitement des données, des mesures de sécurité, etc.
Transparence
Une communication claire et transparente sur la politique de protection de la vie privée contribuera à votre crédibilité. L’objectif visé par le RGPD est une communication concise, compréhensible et claire. Il est donc temps de faire une analyse critique de votre déclaration de confidentialité actuelle et de la reformuler si nécessaire.
Sensibilisation et formation
Les collaborateurs doivent être informés sur les thèmes de la confidentialité des données. Différents canaux peuvent être utilisés à cette fin : organisation de séances d’information ciblées par service, communication sous forme de conseils et d’astuces, et sensibilisation par des campagnes sur le phishing.
Dispenser une formation de base obligatoire à tous les collaborateurs est une nécessité, et cette formation doit être organisée de préférence par le service du personnel. L’ajout de cette formation de base au programme d’intégration est la garantie que tous les nouveaux employés seront informés dès leur arrivée sur les risques et la politique de confidentialité mise en œuvre.
Nos conseillers seront ravis de vous aider à définir une politique de confidentialité sûre et adéquate.
