GDPR : Confidentialité et sécurité par défaut!

En ce qui concerne la vie privée et la sécurité, il est très important de mettre en oeuvre, dès le début de votre projet, un processus normalisé et reproductible, que ce soit à la fois pour votre service informatique et votre entreprise. Les délégués à la protection des données, ainsi que leurs correspondants au niveau de la sécurité et du risque pourront vous aider en prodiguant leurs conseils, veiller à la supervision, et en examinant le projet à chaque étape de son processus.

Pensez à mettre en place une automatisation afin de permettre à vos collègues de demander une Evaluation de l'Impact sur la Vie Privée (EIVP) des systèmes qu’ils envisagent de construire et de déployer, afin de pouvoir leur fournir une estimation et un échéancier raisonnable.

Il faut qu'ils comprennent qu'il est essentiel d'inclure cette phase dans le projet dès le début afin d’éviter d’avoir à réaliser des changements de dernière minute au niveau de la conception ou encore de prendre des décisions alors que le compte à rebours pour le lancement est enclenché.

La GDPR exige non seulement la vie privée et la sécurité à dessein, mais également par défaut. Ce qui signifie que ce qui était considéré autrefois comme une bonne pratique va désormais devenir une exigence démontrable sur le plan opérationnel.

Evaluation d'Impact / Vie Privée et Protecion des Données

Deux processus sont importants et systématiques et ils vont devoir être mis en place, il s'agit de l'évaluation de l'impact sur la vie privée (EIVP) et la protection des données (EIPD). Ces deux processus sont utilisés pour l'évaluation des risques pour la vie privée des individus au niveau de la collecte, de l’utilisation et de la divulgation de leurs données personnelles.

Les EIPD permettent d’identifier les risques au niveau de la vie privée, de devancer les problèmes et d'offrir des solutions.

La GDPR va également demander les EIVP pour les activités de traitement de données jugées à haut risque.

Les évaluations d’impact et de sécurité permettent d'évaluer le risque potentiel au niveau des systèmes et des flux de données qui les composent.

Inventaire de données et mapping des données ou une approche de la protection des données en fonction des risques.

Afin de pouvoir gérer les programmes de confidentialité et de protection des données, la GDPR impose aux sociétés une approche en fonction des risques.

L’analyse des risques est contextuelle et une fois que le concept de risque parait dans le GDPR, il va être défini en référence à la « probabilité et la gravité » au niveau d’un impact négatif sur les droits des personnes concernées. Il va falloir que les contrôleurs de données tiennent compte de ''la nature, la portée, le contexte et les objectifs du traitement''.

Les contrôleurs vont devoir, en ce qui concerne la sécurité des données, mettre en œuvre ''les mesures techniques et organisationnelles'' appropriées au risque, afin d’éviter une violation des données.

Il ne faut pas oublier que la GDPR oblige les sociétés ayant subi une violation de notifier les personnes touchées par la violation lorsque les données des individus sont à haut risque mais également et surtout les Agences protection des données.

Les sociétés vont devoir comprendre la nature des données qu'elles détiennent. Cela inclut de savoir comment ces données sont collectées ou créées, utilisées, conservées, partagées et finalement éliminées.

Inventaire des données et mapping des données

Avec l'arrivée de la GDPR vous allez devoir comprendre et maintenir un inventaire à jour des données personnelles et ceci, qu'elles ''voyagent'' au travers de votre système d'information, de votre entreprise. Quels types de données essayez-vous de protéger ?

Il va falloir comprendre ce que sont vos données et où elles se trouvent, essayer de les classer correctement afin de mettre en place des niveaux de protection appropriés.

N'oubliez de mettre en place ce fameux registre des activités de traitements (des données) mais surtout maintenez le à jour.