Conformité au règlement RGPD

Conformité au règlement RGPD – une approche pratique en 5 étapes clés

J’ai eu la chance d'être invité à parler du règlement Général sur la Protection des Données (RGPD) de l’UE lors de récents salons et conférences consacrés de sécurité, notamment avec l'organisme ISSA aux États-Unis, lors du CeBIT en Allemagne, avec C-Cure/DEXCEO au Danemark, auprès du Telegraph Business Reporter à Londres et plus récemment lors du salon Security Days à Tokyo. Il est manifeste que l’intérêt pour le règlement RGPD va crescendo dans tous ces pays. À Tokyo cependant, l'attention reste forte pour la norme de sécurité Payment Card Industry Data Security Standard (PCI DSS) et son importance pour les Jeux Olympiques de 2020 qui auront lieu au Japon.

Même s'il s'agit d'infrastructures différentes, parler de l'obligation de conserver en sécurité les données soumises à la règlementation PCI DSS comme d'un sous-ensemble de l'obligation qui est faite aux entreprises dans le cadre du RGPD n’est pas hors sujet. En outre, de nombreuses conditions sine qua non pour se conformer au règlement RGPD sont identiques à celles pour la norme PCI DSS.

Néanmoins, l‘une des différences majeures est que les entreprises peuvent sous-traiter le traitement des paiements par carte de crédit pour réduire l’impact de la conformité à PCI sur leurs activités tandis que le règlement RGPD a une incidence directe sur la plupart des entreprises qui seront responsables des données personnelles qu’elles détiennent sur des citoyens de l’UE, quelle que soit la région du monde où elles sont implantées.

Le "droit à l’oubli" sera le défi le plus important

Le règlement RGPD impose un certain nombre d'exigences dont la plupart complètement nouvelles. L'aspect le plus problématique de la conformité sera le retrait du consentement, autrement dit l'application du "droit à l'oubli", un sujet qui gagne en importance dans le contexte plus large d'Internet. Pour les entreprises, cela implique de pouvoir découvrir où les données sont stockées et supprimer théoriquement toute référence à un citoyen de l’UE qui en fait la demande. Même s'il s'agit d'une opération relativement simple pour les informations stockées dans des bases de données, ce sont les données non structurées stockées sur des PC portables, des serveurs de fichiers ou hébergées dans le Cloud qui vont poser un problème de taille aux entreprises. Suivre la procédure décrite ci-dessous vous aidera à vous concentrer sur les priorités et à accélérer votre mise en conformité.

5 étapes clés pour votre projet de conformité au règlement RGPD

Comme pour la plupart des entreprises, une fois intégrée l'obligation de se conformer au règlement RGPD, la question suivante est de savoir par où commencer. Dans toutes mes présentations, je propose une approche pratique de la conformité au règlement RGPD qui vaut pour les entreprises présentes sur tous les marchés verticaux et de toute taille, peu importe le pays où elles sont implantées :

1) Comprendre les fondements du Règlement Général sur la Protection des Données

Téléchargez et lisez le règlement pour voir comment il s’intègre à d’autres règlementations régionales auxquelles une entreprise doit se conformer le cas échéant, puis comment il s'intègre aux normes internes de l'entreprise, notamment la gestion des risques, les systèmes informatiques et les politiques.

2) Découvrir comment les flux de données concernés par le règlement RGPD circulent à l'intérieur et à l'extérieur de votre entreprise

Procédez à un exercice sur les flux de données avec les différents services de votre entreprise qui traitent et partagent des données critiques. Utilisez la technologie qui vous permet de superviser l'utilisation de ces données et de mieux appréhender la circulation des flux de données critiques dans et en dehors de votre entreprise.

3) Découvrir où sont stockées/hébergées les données en lien avec le règlement RGPD dans votre entreprise

Faites un scan des données au repos à travers votre entreprise. Ce dernier vous fournira une liste de fichiers contenant des données concernées par le règlement RGPD et vous indiquera où elles se trouvent (par exemple sur des équipements de point d'extrémité, des serveurs, etc.). Ce scan sera essentiel pour traiter une demande de « droit à l'oubli » dans le cadre de la nouvelle réglementation et vous permettra aussi de mieux comprendre la complexité de la conformité.

4) Créer un plan d’action et un calendrier pour la conformité au règlement RGPD

Les résultats de vos efforts de cartographie, supervision et scan permettront de mettre en évidence les lacunes au sein de vos processus de traitement des données et de la technologie que vous utilisez pour assurer votre sécurité. Exploitez ces résultats pour documenter un plan d’action et un calendrier strict afin de procéder aux modifications et améliorations requises pour que votre entreprise soit effectivement en conformité avec les exigences du règlement RGPD avant son entrée en vigueur en mai 2018.

5) Déployer la technologie qui prendra en charge votre projet ET la conformité au règlement RGPD

La technologie aura toute son importance pour votre projet de conformité au règlement RGPD. En effet, elle vous aidera à vous conformer à ce règlement et à maintenir en permanence votre conformité. Choisissez une technologie qui automatise les processus manuels de protection des données, qui applique des politiques de sécurité, qui vous fournit de la visibilité sur les données circulant au sein et en dehors de votre entreprise et qui renforce la sécurité et la protection des données critiques. Pour en savoir plus, reportez-vous à la fiche produit intitulée "Piloter la conformité au règlement RGPD: cartographier, sécuriser et gouverner".

Le processus de conformité au règlement RGPD est une opportunité pour les entreprises!

Le processus de conformité au règlement RGPD requiert un mélange d’analyse et de recherche sur les personnes, les processus et la technologie au sein de votre entreprise. Il permet d'avoir une compréhension granulaire du fonctionnement de votre entreprise et de faire évoluer la manière dont vous collaborez et travaillez.

Au final, un projet de conformité au règlement RGPD réalisé dans les règles vous permettra non seulement de réduire les risques de fuite de données et de vous conformer au règlement lui-même, mais aussi de renforcer la confiance de vos clients et prospects et donc de développer votre activité.

Contactez un spécialiste Clearswift  pour échanger et voir comment nous pouvons vous mettre rapidement sur la voie de la conformité au règlement RGPD.