RGPD DSI GDPR

DSI : quelles étapes pour appliquer le RGPD ?

Les DSI font partie des premiers concernés par l’application du Règlement général sur la protection des données ou RGPD, prévue pour le 25 mai 2018. En effet, il leur revient d’assurer une nouvelle sécurité des informations utilisées par les entreprises, ainsi qu’un meilleur accès aux contenus, notamment pour que les particuliers puissent exercer l’ensemble des droits que leur confère le RGPD. Explications.

Simplification… mais aussi renforcement des obligations

Le RGPD, appliqué dès la fin du mois de mai 2018, offre aux DSI une réelle simplification des démarches par rapport à l’ancienne loi Informatique et Libertés. En effet, les formalités auprès de la CNIL s’en trouvent largement limitées. Il « suffit » de tenir un registre des activités de traitement !

En revanche, le RGPD fait peser sur l’ensemble de l’entreprise de nouvelles obligations :

  • L’accountability, obligeant à mettre en œuvre des mécanismes et procédures internes pour démontrer que les règles relatives à la protection des données sont bien respectées ;
  • Le Privacy by default et by design, obligeant à déployer des process mettant au cœur de leur organisation la protection des données, dès la phase de conception.

L’obligation générale de sécurité, un rôle pour les DSI !

Les DSI se voient également soumises, via l’article 32 du RGPD, à une « obligation générale de sécurité ». Laquelle repose sur plusieurs principes :

– La pseudonymisation et le chiffrement des données ;

– L’intégrité, la disponibilité, la résilience et la confidentialité,

– Des phases de test, d’analyse et d’évaluation du SI ;

– La mise en place de moyens pour rétablir l’accès et la disponibilité des données.

Des analyses d’impact des nouvelles technologies sur la vie privée pourraient également devenir obligatoires, notamment si le traitement de données sensibles se fait à grande échelle, et si une surveillance systématique, à grande échelle, de données accessibles au public est effectuée. Cette analyse devra contenir une description des opérations de traitement, ses finalités et des intérêts légitimes, une évaluation de la nécessité et de la proportionnalité des opérations ainsi que des risques pour les droits des individus. Enfin, elle devra mentionner les mesures et mécanismes envisagés pour « prouver », en cas de contrôle, le respect et la conformité au règlement.

3 étapes pour une DSI « RGPD-compatible »

Vous êtes DSI et devez vous adapter au RGPD ? Voici trois étapes à suivre pour prendre les bonnes décisions et vous assurer de recueillir les bonnes informations au bon moment :

– Identifier l’ensemble des flux des données personnelles, pour déterminer les opérations à risque et celles qui ne le sont pas ;

– Vérifier auprès des responsables de ces flux leur pertinence : sont-ils indispensables au bon fonctionnement de l’entreprise ?

– Aboutir, in fine, à une cartographie complète de la donnée, afin de définir les enjeux et les risques propres à l’entreprise.

Vous êtes DSI, et souhaitez vous faire accompagner dans la mise en place du RGPD ? Que votre entreprise accueille un DPO ou non, contactez les équipes d’Everteam pour obtenir des conseils sur les outils que vous pouvez utiliser !