Actualités : analyse de données, Business Intelligence, Data Science, Big Data


GDPR : 87% des DSI estiment que leurs politiques et procédures actuelles ne sont pas conformes au règlement


Rédigé par Communiqué de Commvault le 13 Décembre 2017

Commvault, revient sur 6 conseils pour l’adopter sans anicroche



Une enquête IDC révélait récemment que le règlement général sur la protection des données (GDPR) est quelque peu nébuleux pour près de 60% des entreprises. Pourquoi un tel résultat ? Avec ses 90 pages, ce règlement n'est pourtant pas si volumineux ! Mais il comporte un certain nombre de subtilités. Ainsi, Commvault revient sur les éléments à appréhender et les mesures à prendre pour y faire face.

Un projet qui impacte tous les métiers de l’entreprise
La GDPR affecte l’ensemble de l’organisation puisqu’elle touche l’ensemble des départements. Il est pourtant peu probable que le responsable du programme GDPR dispose de suffisamment de connaissances pour comprendre l'impact d’une telle transformation et l'ampleur des défis commerciaux et techniques que cela implique. En plus d’un référentiel qui fournira un certain nombre de définitions permettant d’appréhender la GDPR, le recours à un Compliance Officer qui dispose d’une vision globale du projet, pourra s’avérer nécessaire.

L’importance du conseil juridique
Un conseiller juridique joue un rôle prépondérant dans le cadre d’un programme de mise en conformité à la GDPR. Qu’elle dispose de cette ressource en interne ou qu’elle fasse appel à un intervenant extérieur, une entreprise ne pourra pas éviter d'y avoir recours, surtout si elle compte plus de 250 employés ou qu’elle traite de certaines données. Néanmoins, même avec de l’aide, il peut être difficile de traduire cela dans les faits. De plus en plus d'entreprises utilisent, par exemple, la prise de décision automatisée et le profilage des clients. Les règles en la matière ont été considérablement durcies et il n'est pas toujours facile de se défaire de la logique ou de l'IA que l’on utilise pour appliquer un nouveau règlement qui peut par ailleurs signifier plus d'intervention humaine.

Des notions parfois imprécises

Une instruction se doit d’être claire. Bien que de nombreuses parties du GDPR soient effectivement très claires sur ce qu’il faut faire ou mettre en place, les règlements utilisent également des termes difficilement mesurables tels que "raisonnable", "adéquat" ou "grand". C’est donc à l’entreprise d’évaluer la quantité de mesures à prendre pour atténuer les risques. Le "Droit à l’oubli" en est un excellent exemple. Après une demande, doit-on également effacer les données qui figurent sur toutes les copies de sauvegarde ? Ou est-ce que le processus de suppression après une récupération suffit ? Doit-on éliminer la bande comme support de stockage à long terme ? La décision ne revient qu’à l’entreprise.

Les technologies actuelles dans le cadre de la GDPR
La prolifération des données permet de disperser les informations d'identification personnelle (PII) dans l’ensemble du système informatique (y compris dans le cloud et le SaaS), quelles que soient les règles mises en place pour les employés. Trouver et profiler ces données pour évaluer un risque est donc délicat, sans parler de les supprimer, si nécessaire. De plus, le profilage ne peut pas être qu’un événement ponctuel et devrait être réalisé en continu. Les méthodes traditionnelles de gestion du consentement, de stockage et de traitement des données vont devoir évoluer avec l’application de la GDPR, indépendamment de si les systèmes et applications des entreprises concernées sont prêts ou non !

Le nouveau rôle du DPO
La GDPR précise que l’on doit faire appel aux services d'un délégué à la protection des données (ou Data Protection Officer - DPO) dès lors que l’on effectue un traitement "à grande échelle" ou que l’on est un organisme public. Cette personne devient l’interlocuteur privilégié en ce qui concerne la protection de la vie privée au sein de l’organisation notamment auprès du régulateur. Par contre, cet individu doit être impartial et ne doit pas avoir d’intérêt dans le traitement des données à caractère personnel.

La nécessité de dissiper la confusion
Il existe de nombreuses possibilités de se voir infliger une amende pour le non-respect de la conformité à la GDPR. Il est donc impératif de neutraliser toute forme de confusion et l'inaction qui en résulte. Si l’entreprise n’a pas encore commencé sa mise en conformité, il est temps de s’y mettre sans hésiter et de demander au conseil d'approuver les ressources pour la GDPR. Il est par ailleurs nécessaire de disposer d’un représentant pour chaque service concerné et d'effectuer une évaluation de l'impact sur la protection des données.

Ces quelques conseils ne représentent qu’un prérequis à l’application de la GDPR. En effet s’ils permettent de lancer un programme de mise en conformité à la GDPR, ils devront aussi s’accompagner de mesures quotidiennes pour conserver cette conformité.




Nouveau commentaire :
Twitter

Vous pouvez commenter ou apporter un complément d’information à tous les articles de ce site. Les commentaires sont libres et ouverts à tous. Néanmoins, nous nous réservons le droit de supprimer, sans explication ni préavis, tout commentaire qui ne serait pas conforme à nos règles internes de fonctionnement, c'est-à-dire tout commentaire diffamatoire ou sans rapport avec le sujet de l’article. Par ailleurs, les commentaires anonymes sont systématiquement supprimés s’ils sont trop négatifs ou trop positifs. Ayez des opinions, partagez les avec les autres, mais assumez les ! Merci d’avance. Merci de noter également que les commentaires ne sont pas automatiquement envoyés aux rédacteurs de chaque article. Si vous souhaitez poser une question au rédacteur d'un article, contactez-le directement, n'utilisez pas les commentaires.


Twitter
Rss
LinkedIn
Facebook
Apple Podcast
App Store
Google Play Store