Avec GDPR et LPD nous sommes au pied de la montagne : les impacts portent sur différents plans et les transformations à envisager sont potentiellement de grande envergure (notamment au plan SI). Il est indispensable de prioriser et d’ajuster l’effort aux enjeux avec le Privacy Impact Assessement.

Les nouvelles réglementations GDPR et LPD pour la Suisse sont encore à l’état de projet à date. Elles induisent potentiellement des impacts d’envergure au sein de votre organisation.
Il est difficile de savoir à ce stade quel sera le niveau de réactivité et de souplesse des autorités de supervision. Par ailleurs la jurisprudence en matière de règlement des litiges autour des données personnelles n’indique pas encore comment toutes ces nouvelles exigences seront réellement prises en compte.

Une approche conditionnée par l’identification des risques

Comme pour toute nouvelle réglementation, nous recommandons d’adopter une approche conditionnée par l’identification des risques auxquels vous êtes réellement exposés vis-à-vis de :

  • GDPR et/ou LPD en mesurant votre écart par rapport aux exigences, en focalisant notamment sur le risque d’atteindre à la vie privée des individus
  • votre niveau de maturité en matière de sécurité IT en regard des risques potentiels d’attaque
  • la réputation de votre entreprise en regard de vos clients/usagers et prospects/partenaires
  • votre maturité en matière de processus de conformité et de votre capacité à évoluer vers une gouvernance transverse des données, qui indiqueront la « marche à gravir » et ce qu’il est envisageable de concevoir à court-moyen terme en matière de transformation

Le Privacy Impact Assessement

Pour ce faire, il est recommandé de s’appuyer sur un cadre d’analyse formaté « GDPR » comme celui que nous proposons. Ceci afin de procéder à un diagnostic général dans un premier temps puis ciblé pour les traitements considérés à risque pour la vie privée.

Ces diagnostics ciblés par traitement correspondent aux « Privacy Impact Assessment » ou « Etude d’Impact sur la Vie Privée » mentionnés dans les réglementations.

GDPR-PIA

Une étape fondamentale des Privacy Impacts Assessments consistera à construire une cartographie des données et traitements concernés précisant :

  • Les objets métier concernés (agrégats de données fonctionnellement et opérationnellement cohérents parmi lesquels se situent les données à caractère personnel), leur provenance et leur destination
  • Les macro-processus métier sur lesquels ils se greffent
  • Les traitements de données portés par les processus métier susmentionnés et leur nature
  • Les différents intervenants impliqués sur ces traitements avec une vue de bout en bout et le cadre contractuel qui régit l’articulation entre vos partenaires/prestataires et vous
  • Les briques du SI portant ces objets métier et ces traitements (référentiels, applicatifs, chaînes et flux – en interne et entrants/sortants)
  • Les éléments et dispositifs de gouvernance déjà en place – vis-à-vis de la gestion de ces objets métier d’une part et de la gestion de la conformité/ audit interne d’autre part

Des actions prioritaires à définir pour la mise en conformité

Une fois les risques identifiés, évalués et situés sur chacun des objets métier, composants SI et processus, une liste d’impacts saura être définie.
Ils pourront être priorisés selon la criticité x probabilité = sévérité du risque auxquels ils se rattachent, permettant ainsi de définir les actions prioritaires.

La définition d’une tactique pour la résorption progressive des impacts GDPR/LPD pourra être envisagée dans un deuxième temps. Il s’agira alors de les insérer parmi les projets de transformation de l’entreprise afin de trouver la meilleure combinaison possible entre couverture des risques et recherche de bénéfices opérationnels.

Le diagnostic général initial et le Privacy Impact Assessment détaillés seront donc pour vous une démarche fondatrice. Elle doit être, dans l’idéal, portée par une équipe agissant sous la gouverne du futur DPO. En effet cela permettra de le légitimer et de commencer au passage à définir une gouvernance dédiée à la Data Privacy et répondant par anticipation aux exigences du régulateur.

Le diagnostic initial général et les PIA ciblés constituent le premier pas concret et incontournable de votre démarche GDPR/LPD. Enfin, cette démarche devra bénéficier d’un sponsorship fort de la Direction Générale afin de s’imposer aux composantes métier de l’entreprise :

  • Opérations : marketing et commercial, service clients…
  • Support : Juridique, contrôle interne, conformité, RH, Achats et DSI

Ce qui suppose avant tout de s’assurer de l’adhésion de votre Direction Générale !

Lire d’autres articles concernant GDPR sur notre blog Redsen :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Voir plus
scroll to top