Damian Scragg, Evidon
Mais il existe un moyen simple de préparer les données sous la forme d'un plan en six étapes, publié par la Commission Nationale de l'Informatique et des Libertés (CNIL) au début de l'année. En suivant le plan, les entreprises veilleront non seulement à ce que les exigences de la réglementation soient pleinement respectées, mais aussi à ce que la conformité se traduise par une communication claire, une transparence et une confiance accrue des clients.
Voici un aperçu détaillé du plan en six points de la CNIL pour la préparation du GDPR :
Étape 1 : Diriger en interne
Le GDPR oblige les entreprises à nommer un délégué à la protection des données (DPD) dans certaines circonstances, par exemple si elles effectuent un suivi systématique à grande échelle des personnes, y compris le suivi du comportement en ligne. Mais même s'il ne s'agit pas d'une obligation légale, un DPD peut donner des conseils sur les obligations, surveiller la conformité et fournir le leadership nécessaire pour impliquer toute l'entreprise – après tout, la conformité au GDPR doit être une éthique à l'échelle de l'entreprise. Un DPD doit provenir du service juridique ou informatique et connaître de A à Z les pratiques de protection des données de l'entreprise.
Étape 2 : Traitement des données cartographiques
Procéder à un examen interne des données permet aux entreprises de comprendre quelles données elles collectent, stockent et traitent, et facilite la mise en conformité. La CNIL fournit un modèle qui aide à exécuter ce processus. Les entreprises doivent également comprendre quelles données sont collectées en leur nom par les partenaires et ce qu'il advient des données qu'elles collectent elles-mêmes. Les deux tiers (67 %) des entreprises affirment qu'il existe sur leur site Web des technologies qu'elles ne connaissent pas, lesquelles pourraient transmettre des données à des tiers, ce qui pose un problème de conformité au GDPR. Plus de données signifiant plus de risques, les entreprises doivent définir quels flux de données sont critiques et supprimer les données redondantes.
Étape 3 : Clarifier les priorités
Une analyse des lacunes permettra aux entreprises de voir quelles mesures elles doivent prendre pour répondre aux exigences du GDPR, au-delà de leurs pratiques de données de base. Ces mesures devront être hiérarchisées en fonction de leur impact sur la vie privée des personnes concernées. Obtenir un consentement explicite par rapport au traitement des données est l'un des aspects les plus importants du GDPR, et la non-conformité entraîne le plus haut niveau d'amendes. Aussi, ce consentement doit figurer en tête des priorités et s'accompagner de politiques de confidentialité claires et transparentes.
Étape 4 : Maîtriser les risques
Lorsqu'une entreprise procède à un traitement susceptible d'entraîner un risque élevé pour les droits et les libertés des personnes concernées, y compris le profilage, elle doit effectuer des évaluations de l'impact de la protection des données (PIA). Si les données sont sensibles, à grande échelle, impliquent des jeux de données appariés ou touchent des personnes vulnérables, elles peuvent être considérées comme présentant un risque élevé. Les PIA aident à identifier et rectifier à un stade précoce les problèmes potentiels liés au traitement des données à haut risque et la CNIL a des lignes directrices spécifiques sur la manière d'entreprendre les évaluations.
Étape 5 : Organiser les processus internes
Pour maintenir la conformité GDPR, les entreprises devront mettre en œuvre divers processus internes. Parce que la réglementation donne aux consommateurs le droit de consulter ou de modifier les données stockées à leur sujet, et de faire supprimer ces données ou de les transférer à une autre entreprise, des processus doivent être en place pour traiter ces demandes. Un processus doit également être mis en place pour traiter les violations de données, notamment en signalant la violation à l'autorité de surveillance compétente et, le cas échéant, aux personnes concernées. La CNIL proposera sur son site Web une fonctionnalité permettant de signaler les violations.
Étape 6 : Maintenir les enregistrements internes
Pour prouver qu'elles sont en règle, les entreprises doivent documenter leurs activités de traitement, en particulier si ces activités présentent un risque élevé pour les droits des personnes concernées. La documentation doit être mise à jour régulièrement et inclure des éléments tels que les catégories de données collectées, l'objectif du traitement, des détails sur tous les transferts de données, les calendriers de conservation des données et les mesures de sécurité organisationnelles.
Les étapes menant à la conformité avec le GDPR peuvent intimider, mais le principe sous-jacent consiste simplement à « faire ce que vous dites et dire ce que vous faites », et les entreprises considérées comme montrant la voie peuvent être grandement récompensées dans le développement de la relation client. Parce que les jeux de données de qualité se traduisent par une communication pertinente qui, associée à une protection responsable des données, conduit à la confiance et à l'implication des consommateurs, la conformité avec le GDPR doit être considérée comme une opportunité très réelle.
Voici un aperçu détaillé du plan en six points de la CNIL pour la préparation du GDPR :
Étape 1 : Diriger en interne
Le GDPR oblige les entreprises à nommer un délégué à la protection des données (DPD) dans certaines circonstances, par exemple si elles effectuent un suivi systématique à grande échelle des personnes, y compris le suivi du comportement en ligne. Mais même s'il ne s'agit pas d'une obligation légale, un DPD peut donner des conseils sur les obligations, surveiller la conformité et fournir le leadership nécessaire pour impliquer toute l'entreprise – après tout, la conformité au GDPR doit être une éthique à l'échelle de l'entreprise. Un DPD doit provenir du service juridique ou informatique et connaître de A à Z les pratiques de protection des données de l'entreprise.
Étape 2 : Traitement des données cartographiques
Procéder à un examen interne des données permet aux entreprises de comprendre quelles données elles collectent, stockent et traitent, et facilite la mise en conformité. La CNIL fournit un modèle qui aide à exécuter ce processus. Les entreprises doivent également comprendre quelles données sont collectées en leur nom par les partenaires et ce qu'il advient des données qu'elles collectent elles-mêmes. Les deux tiers (67 %) des entreprises affirment qu'il existe sur leur site Web des technologies qu'elles ne connaissent pas, lesquelles pourraient transmettre des données à des tiers, ce qui pose un problème de conformité au GDPR. Plus de données signifiant plus de risques, les entreprises doivent définir quels flux de données sont critiques et supprimer les données redondantes.
Étape 3 : Clarifier les priorités
Une analyse des lacunes permettra aux entreprises de voir quelles mesures elles doivent prendre pour répondre aux exigences du GDPR, au-delà de leurs pratiques de données de base. Ces mesures devront être hiérarchisées en fonction de leur impact sur la vie privée des personnes concernées. Obtenir un consentement explicite par rapport au traitement des données est l'un des aspects les plus importants du GDPR, et la non-conformité entraîne le plus haut niveau d'amendes. Aussi, ce consentement doit figurer en tête des priorités et s'accompagner de politiques de confidentialité claires et transparentes.
Étape 4 : Maîtriser les risques
Lorsqu'une entreprise procède à un traitement susceptible d'entraîner un risque élevé pour les droits et les libertés des personnes concernées, y compris le profilage, elle doit effectuer des évaluations de l'impact de la protection des données (PIA). Si les données sont sensibles, à grande échelle, impliquent des jeux de données appariés ou touchent des personnes vulnérables, elles peuvent être considérées comme présentant un risque élevé. Les PIA aident à identifier et rectifier à un stade précoce les problèmes potentiels liés au traitement des données à haut risque et la CNIL a des lignes directrices spécifiques sur la manière d'entreprendre les évaluations.
Étape 5 : Organiser les processus internes
Pour maintenir la conformité GDPR, les entreprises devront mettre en œuvre divers processus internes. Parce que la réglementation donne aux consommateurs le droit de consulter ou de modifier les données stockées à leur sujet, et de faire supprimer ces données ou de les transférer à une autre entreprise, des processus doivent être en place pour traiter ces demandes. Un processus doit également être mis en place pour traiter les violations de données, notamment en signalant la violation à l'autorité de surveillance compétente et, le cas échéant, aux personnes concernées. La CNIL proposera sur son site Web une fonctionnalité permettant de signaler les violations.
Étape 6 : Maintenir les enregistrements internes
Pour prouver qu'elles sont en règle, les entreprises doivent documenter leurs activités de traitement, en particulier si ces activités présentent un risque élevé pour les droits des personnes concernées. La documentation doit être mise à jour régulièrement et inclure des éléments tels que les catégories de données collectées, l'objectif du traitement, des détails sur tous les transferts de données, les calendriers de conservation des données et les mesures de sécurité organisationnelles.
Les étapes menant à la conformité avec le GDPR peuvent intimider, mais le principe sous-jacent consiste simplement à « faire ce que vous dites et dire ce que vous faites », et les entreprises considérées comme montrant la voie peuvent être grandement récompensées dans le développement de la relation client. Parce que les jeux de données de qualité se traduisent par une communication pertinente qui, associée à une protection responsable des données, conduit à la confiance et à l'implication des consommateurs, la conformité avec le GDPR doit être considérée comme une opportunité très réelle.
