Bonnes pratiques et expertises IT
Rechercher

RGPD : les chantiers à mener pour se mettre en conformité

Le RGPD (Règlement général sur la protection des données), qui entrera en vigueur en mai 2018, va bousculer les pratiques de toutes les entreprises en matière de protection des données personnelles. Il est certes encore temps de d’organiser, bien que le compte à rebours va devenir de plus en plus stressant pour les DSI et les responsables de la sécurité des systèmes d'information. D’où l’importance d’une démarche structurée. Trois chantiers doivent être privilégiés.

« Le RGPD est le point d’entrée dans la gestion de la vie privée pour la prochaine décennie et un facteur clé de la confiance », résume Henry Peyret, analyste principal chez Forrester. Sur ce terrain, ajoute-t-il, « il y a de plus en plus de parties prenantes, au moins une quinzaine de métiers sont concernés, depuis le marketing jusqu’à la sécurité, en passant par les ressources humaines, le sourcing, la distribution... ». Cela rend la problématique complexe, d’autant que les entreprises se heurtent à un paradoxe : « Les consommateurs exigent de plus en plus de personnalisation, mais, dans le même temps, veulent davantage de protection de leurs données personnelles », explique Henry Peyret, qui conseille aux entreprises « d’industrialiser le management de la protection des données personnelles. » Cette industrialisation, avec les outils ad hoc, est, selon lui, incontournable, sous peine de voir les coûts exploser ! Une simple classification des données ne sera pas suffisante.

Au-delà de créer une véritable culture de la donnée et de sa protection dans l’organisation, la réussite réside dans l’adoption d’une bonne approche pour être prêt en mai 2018. Le premier chantier consiste à réaliser une étude préparatoire. Il s’agit, au cours de cette étape, d’organiser les travaux et de préparer la communication. « La question qu’il convient de se poser est la suivante : comment cela va-t-il être compris par les parties prenantes dans l’organisation ? », conseille Ludovic Relandeau, directeur des opérations France de Mega International. Pour mener à bien ce chantier, il faut appliquer trois principes : faire simple pour partager avec le plus grand nombre, utiliser les processus (approche systémique, flux de l’information physique ou numérique) et partager des catégories de données associées à un impact potentiel en cas de violation.

Second chantier à mener : les entretiens avec les métiers. L’important est de partager les objectifs, de mobilier les métiers et de prioriser les chantiers en déterminant quelles sont les actions à mettre en œuvre. « Nous recommandons d’identifier les priorités à l’aide des catégories de données et des traitements (selon leur intensité et leur sensibilité), de définir le niveau d’analyse approprié en regard de la maitrise du système associé et de collecter les informations relatives au respect des droits et au registre des traitements », suggère Jean-François Bigey, directeur des Partenariats chez Mega International.

Enfin, le troisième chantier qu’il convient d’initier concerne une analyse de la conformité RGPD. Il convient, sur ce plan, d’évaluer l’exposition au RGPD, en veillant à ce que les évaluations soient homogènes, partagées et consolidées. Concrètement, cela correspond à évaluer précisément les risques pour la personne physique avec toutes les parties prenantes. « Il ne s’agit pas de refaire une étude de sécurité experte, mais, au contraire, de privilégier des outils simples et partagés », recommande Jean-François Bigey.

Pour en savoir plus :

Comment rater son projet RGPD

RGPD : un nouveau chantier pour occuper des DSI qui seraient trop tranquilles

RGPD ou le syndrome de l'an 2000

 

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

La rédaction

La rédaction

La rédaction de Best Practices fédère les meilleurs experts sur le management des systèmes d’information.

Nos Ouvrages

  • Best Practices
Relations fournisseurs

    La relation avec les fournisseurs est probablement ce qu’il y a de plus complexe à gérer pour un DSI. Autant, pour les problématiques technologiques, on peut s’appuyer sur des standards, autant les interactions avec les fournisseurs, qui comportent une part d’incertitude, d’ambiguïté et de liens personnels, sont délicates à normaliser.

  • Best Practices Spotlight
Symposium Gartner 2018

    Ce numéro de Best Practices Spotlight regroupe l’essentiel des chiffres et des tendances qui ont été présentés lors du Symposium Gartner 2018, qui s’est tenu en novembre à Barcelone.

  • La sécurité du système d’information en 180 questions

    Les cyber attaques n’ont jamais occasionné autant de dégâts dans les entreprises. Comment mieux se protéger ? Ce guide pratique regroupe les 180 questions que doivent se poser les responsables sécurité et les DSI. Avec des réponses concrètes…

A ne pas manquer

  • Comment rater...
sa génération de leads

    Il existe un lien étroit entre le dynamisme commercial d'un éditeur de logiciels ou d'un intégrateur et la qualité des leads dont disposent les commerciaux pour maintenir leur performance. Mais il est très facile de ruiner votre performance commerciale.

  • Services managés : où en sont les entreprises françaises ?

    Best Practices a réalisé une enquête auprès des entreprises et organisations publiques françaises. Avec plusieurs objectifs : cerner les enjeux associés aux systèmes d’information, mesurer les usages des services managés les budgets associés.

  • Pour en savoir plus sur l’externalisation

    Pourquoi externaliser ? Quels sont les avantages et les inconvénients ? Comment définir les règles du jeu ? Quels sont les points de vigilance ? Quelles sont les dix questions que posent systématiquement les directions générales aux DSI ?

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris