Bonnes pratiques et expertises IT
Rechercher

RGPD : les chantiers à mener pour se mettre en conformité

Le RGPD (Règlement général sur la protection des données), qui entrera en vigueur en mai 2018, va bousculer les pratiques de toutes les entreprises en matière de protection des données personnelles. Il est certes encore temps de d’organiser, bien que le compte à rebours va devenir de plus en plus stressant pour les DSI et les responsables de la sécurité des systèmes d'information. D’où l’importance d’une démarche structurée. Trois chantiers doivent être privilégiés.

« Le RGPD est le point d’entrée dans la gestion de la vie privée pour la prochaine décennie et un facteur clé de la confiance », résume Henry Peyret, analyste principal chez Forrester. Sur ce terrain, ajoute-t-il, « il y a de plus en plus de parties prenantes, au moins une quinzaine de métiers sont concernés, depuis le marketing jusqu’à la sécurité, en passant par les ressources humaines, le sourcing, la distribution... ». Cela rend la problématique complexe, d’autant que les entreprises se heurtent à un paradoxe : « Les consommateurs exigent de plus en plus de personnalisation, mais, dans le même temps, veulent davantage de protection de leurs données personnelles », explique Henry Peyret, qui conseille aux entreprises « d’industrialiser le management de la protection des données personnelles. » Cette industrialisation, avec les outils ad hoc, est, selon lui, incontournable, sous peine de voir les coûts exploser ! Une simple classification des données ne sera pas suffisante.

Au-delà de créer une véritable culture de la donnée et de sa protection dans l’organisation, la réussite réside dans l’adoption d’une bonne approche pour être prêt en mai 2018. Le premier chantier consiste à réaliser une étude préparatoire. Il s’agit, au cours de cette étape, d’organiser les travaux et de préparer la communication. « La question qu’il convient de se poser est la suivante : comment cela va-t-il être compris par les parties prenantes dans l’organisation ? », conseille Ludovic Relandeau, directeur des opérations France de Mega International. Pour mener à bien ce chantier, il faut appliquer trois principes : faire simple pour partager avec le plus grand nombre, utiliser les processus (approche systémique, flux de l’information physique ou numérique) et partager des catégories de données associées à un impact potentiel en cas de violation.

Second chantier à mener : les entretiens avec les métiers. L’important est de partager les objectifs, de mobilier les métiers et de prioriser les chantiers en déterminant quelles sont les actions à mettre en œuvre. « Nous recommandons d’identifier les priorités à l’aide des catégories de données et des traitements (selon leur intensité et leur sensibilité), de définir le niveau d’analyse approprié en regard de la maitrise du système associé et de collecter les informations relatives au respect des droits et au registre des traitements », suggère Jean-François Bigey, directeur des Partenariats chez Mega International.

Enfin, le troisième chantier qu’il convient d’initier concerne une analyse de la conformité RGPD. Il convient, sur ce plan, d’évaluer l’exposition au RGPD, en veillant à ce que les évaluations soient homogènes, partagées et consolidées. Concrètement, cela correspond à évaluer précisément les risques pour la personne physique avec toutes les parties prenantes. « Il ne s’agit pas de refaire une étude de sécurité experte, mais, au contraire, de privilégier des outils simples et partagés », recommande Jean-François Bigey.

Pour en savoir plus :

Comment rater son projet RGPD

RGPD : un nouveau chantier pour occuper des DSI qui seraient trop tranquilles

RGPD ou le syndrome de l'an 2000

 

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

La rédaction

La rédaction

La rédaction de Best Practices fédère les meilleurs experts sur le management des systèmes d’information.

Nos Ouvrages

  • Best Practices
Mises en œuvre

    Cette première édition des Best Practices mises en oeuvre regroupent des recommandations, des conseils et des méthodologies issues de retours d'expérience de DSI et de l'expertise de nos équipes. La centaine d'articles retenus abordent la stratégie et le management du SI, la gestion de projet, la valorisation de la DSI, le sourcing et le pilotage de la DSI.

  • Best Practices Spotlight 
Atlas - Édition 2017

    L’Atlas du DSI regroupe tous les sujets publiés dans le cadre du service de benchmarking et de veille Best Practices Spotlight. L’Atlas du DSI propose des articles synthétiques pour rester à l'état de l'art, des chiffres-clés pour se benchmarker, des argumentaires pour convaincre les métiers, des bonnes pratiques à partager avec vos équipes et des résumés d'études que vous n'avez jamais le temps de lire.

  • Best Practices Revues et Corrigées - édition 2017

    Cet ouvrage regroupe tout ce qu’il faut savoir pour manager les systèmes d’information. Chaque thème est traité en trois parties. D’abord, une présentation de la « Best Practice », qui en explique la genèse, les développements et les principes. Ensuite, un regard critique, qui met en exergue les points faibles, les éléments de débat et de controverse.

A ne pas manquer

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris