Comment gérer et piloter votre conformité RGPD ?

Comment gérer et piloter votre conformité RGPD ?
par EBRC 09/06/2021
Banque, Assurance & Fintech
Santé et Sciences de la Vie
Secteur public & Institutions européennes
Défense & Spatial
Technologie et Editeurs logiciels
Energie, Logistique & Industrie

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur en mai 2018. Trois ans après, où en est-on ? Même si de nombreuses entreprises ont nommé un Data Protection Officer (DPO) et fourni de gros efforts pour se mettre en conformité, ces derniers mois le sujet  s’est vu éclipsé par la crise sanitaire. De nets reculs ont été constatés, comme en témoignent les nombreuses sanctions administratives prononcées en 2020 par les autorités européennes de protection des données : 326 pour un montant cumulé de 170 millions d’euros. Comment dès lors rentrer dans un processus d’amélioration continue en impliquant toutes les parties prenantes ?

Christelle Amodio, Business Manager chez EBRC, Aline Moyret, Gouvernance Risk & Compliance Practice Lead chez EBRC, et Stéphane Omnes, Data Protection Officer chez Post Luxembourg, ont débattu de la question au cours d’un webinaire organisé par EBRC et dédié au pilotage du RGPD. Pour eux, se mettre en conformité avec le RGPD à un moment donné ne suffit plus. Les entreprises évoluent – de nouveaux services ou produits apparaissent, d’autres disparaissent – et, avec elles, le traitement de leurs données. Il est donc plus qu’urgent de dépasser le mode projet et de mettre en place un vrai système de gestion de la protection des données à caractère personnel.

Gérer votre conformité RGPD grâce à un référentiel de contrôle basé sur 9 thèmes et 24 points de contrôle

La démarche proposée par EBRC s’inscrit dans une politique de gestion des risques basée sur un plan de contrôle. Celui-ci permet de dresser un état des lieux de la conformité de l’entreprise, d’identifier les points d’amélioration, de pouvoir donner un retour aux différentes parties prenantes, que ce soient les responsables métiers ou la direction, de réévaluer les risques et de mettre à jour les politiques et les procédures afin d’améliorer en permanence le système de gestion de protection des données.    

Le plan de contrôle s’articule autour de 9 thèmes : la gouvernance et ses moyens, le registre des traitements, leur conformité, la protection de la vie privée dès la conception (Privacy By Design), les droits des personnes concernées, les violations de données, la gestion des sous-traitants, la gestion des clients professionnels et la sécurité. Ces 9 thèmes sont déclinés en 24 points de contrôle pour lesquels une correspondance a été établie avec le schéma de certification GDPR-CARPA (Certified Assurance Report-Based Processing Activities), élaboré par la Commission Nationale de Protection des Données (CNPD), et l’ISO27701, la norme internationale pour la protection des données.

Protéger vos informations sensibles - trois niveaux de responsabilités : des responsables métiers aux auditeurs internes

Sur base de ce référentiel de mise en conformité, trois niveaux de contrôle sont prévus. Le premier niveau est du ressort des responsables métiers. Leur mission principale à cet égard est de réaliser, à intervalles réguliers - en général deux fois par an - , une auto-évaluation de leur conformité au RGPD. Les contrôles de niveau 2 sont de la responsabilité du Data Protection Officer et de son équipe. Ils auditent, également sur une base régulière, les responsables métiers, analysent leurs réponses et les challengent sur leur auto-évaluation. L’objectif est de mesurer à l’aide d’indicateurs reproductibles (KPIs) l’état de leur mise en conformité et d’identifier les points qui ont été améliorés et ceux qui doivent encore l’être, les risques résiduels et l’éventuel manque de ressources allouées à la mise en conformité. Les résultats et les plans d’action à mettre en place sont ensuite documentés sous forme de rapports qui permettent de remonter l’information à la direction et aux comités spécialisés et ainsi de leur donner plus de visibilité sur la mise en conformité RGPD. La troisième ligne de défense est prise en charge par l’audit interne.

Les avantages de ce système de gestion de la protection des données sont multiples. Vous surveillez et contrôlez en permanence votre mise en conformité RGPD. Vous gérez les risques. Vous informez et formez toutes les parties prenantes sur leur niveau de responsabilité dans le traitement des données personnelles. En outre, l’approche est simple  – un tableur du type Excel suffit pour créer un tableau de bord unique et décentralisé -, pragmatique, agile, itérative et adaptable à tous les secteurs d’activité, quelle que soit la taille de votre entreprise.

Pour en savoir plus sur notre système de gestion de la protection des données à caractère personnel, vous pouvez visionner le replay du webinaire « RGPD : prenez le contrôle » ou nous contacter.