Un diagnostic est nécessaire pour évaluer les dispositifs existants de l’entreprise avant de réaliser un projet de conformité. Le règlement général relatif à la protection des données personnelles (RGPD), entré en vigueur en 2018, a requis des préparatifs importants au niveau des établissements financiers (banques, courtiers, mutuelles, industries, établissements publics). AXIESS a accompagné plusieurs entreprises en vue de l’application du RGPD, effectué un diagnostic et organisé l’ensemble du projet.
Exemples d’entreprises nécessitant un diagnostic d’activité
Nous avons accompagné une banque, une mutuelle et plusieurs courtiers pour préparer l’application du RGPD avant son entrée en vigueur. Ces établissements avaient besoin d’un diagnostic détaillé concernant leur politique de gestion des données, afin d’organiser au mieux la mise en conformité par rapport à la nouvelle réglementation. Plusieurs questions ont été soulevées : comment s’organisent la collecte et le traitement des données ? Quelles sont les finalités de cette collecte et comment les données sont-elles utilisées ? Quels éléments de cette gestion sont conformes au nouveau règlement et quels points nécessitent une mise en conformité ? Comment déployer l’application du règlement européen au niveau de l’entreprise et de l’ensemble du personnel ? AXIESS a accompagné ces établissements dès l’arrivée du règlement. Nous allons étudier les étapes de ce projet de diagnostic de données RGPD.
Les éléments concernés par le diagnostic
Le diagnostic de l’activité de l’entreprise effectuée en vue de l’application du RGPD couvre l’ensemble de la gestion des données à caractère personnel (DCP).
La collecte de données
Le diagnostic sur la collecte d’informations personnelles vise à établir :
- Le type de données collectées (données personnelles ou autres) ;
- La manière de collecter les données, notamment les canaux utilisés (application mobile, fiches de renseignements, formulaires sur le site web, etc.) ;
- Le recueil du consentement ou non : le consentement est un aspect très important de la nouvelle réglementation, il doit être librement et explicitement manifesté par chaque personne concernée.
- La destination des données,
- La finalité de la collecte et le respect du principe de limitation, …
Nous avons également réalisé un état des lieux des données historiques afin de pouvoir appliquer facilement les recommandations légales en temps voulu, sachant qu’au moment de l’entrée en vigueur du RGPD, la législation concernant ces informations archivées était encore en cours de discussion.
Utilisation et traitement des données collectées
Cet aspect du diagnostic de données RGPD vise à établir les usages internes et externes des données collectées. AXIESS a aidé les entreprises à établir des descriptifs complets sur la finalité de chaque collecte : à des fins de prospection, de gestion des recrutements, d’envoi de newsletters, d’établissement de bases de données CRM, etc.
La manière de traiter les données personnelles a également fait l’objet d’une description exhaustive :
- Liste des règles d’archivage et de désarchivage ;
- Identification des règles et du droit d’accès ;
- Examen de la politique de confidentialité et de la conservation des données, dont la conformité au droit à l’oubli pour certaines données historiques ;
- Identification des traitements effectués sur les données, et les éventuels transferts hors des États membres de l’UE ;
- Identification des responsables du traitement et des outils utilisés ;
- Identification des acteurs avec lesquels les données sensibles sont partagées (ex : sous-traitants).
Ce diagnostic a permis de mettre en place un registre des traitements pour les entreprises concernées. Cela facilite la mise en conformité et l’application des nouveaux règlements.
Bases et flux de données
Le diagnostic des bases et flux de données consiste à identifier :
- Les données structurées et non structurées dont dispose l’entreprise ;
- La localisation (ex : service client, service RH, etc.) et le stockage des données ;
- Leur mode de circulation.
Nous avons établi une cartographie des flux et une cartographie des données suivant leurs bases de stockage. La principale difficulté des entreprises résidant dans l’éparpillement des bases d’informations personnelles cloisonnées dans les différents services.
Sécurité informatique
La sécurité IT se trouve au centre de la problématique de conformité. Le diagnostic informatique constitue donc un préalable essentiel à la mise en place du RGPD. Voici les éléments de l’analyse des risques réalisée lors du diagnostic IT :
- Analyse des risques technologiques relatifs au traitement des DCP et analyse des écarts entre les pratiques de l’entreprise et les exigences du RGPD ;
- Audit de sécurité sur l’ensemble du SI ;
- Analyse des règles de cryptage et tests d’intrusion ;
- Examen des procédures de sécurité existantes.
Ces procédures ont fait l’objet d’une attention particulière, sachant que le RGPD exige des procédures concises et opérationnelles.
L’organisation du projet de mise en conformité
Après le diagnostic de l’activité des entreprises et l’analyse des risques, le déploiement du dispositif conforme au règlement s’est fait en plusieurs étapes :
- Organisation du projet ;
- Entretiens avec les responsables ;
- Formation des responsables et actions de sensibilisation du personnel concernant les bonnes pratiques et recommandations dictées par la réglementation ;
- Conseil sur les outils et mesures de sécurité à déployer ;
- Rédaction des procédures de suivi et de contrôle pour une réaction efficace en cas de violation.
Les entreprises ont pu bénéficier de l’expertise d’AXIESS en matière de diagnostic de données RGPD, d’analyse de leur dispositif de gestion des DCP et de mise en place de procédures conformes à la réglementation. En effet, un diagnostic est indispensable avant tout projet de mise en conformité afin d’établir les chantiers nécessaires.
Le diagnostic interne d’entreprise permet d’identifier ses forces et ses faiblesses, tandis que le diagnostic externe d’entreprise a pour but d’identifier les opportunités et les menaces de l’environnement. Un diagnostic complet permet donc de déceler les risques financiers comme le blanchiment d’argent), les risques juridiques, ou encore les risques de clientèle. C’est donc une étape primordiale avant toute autre démarche.
Si vous souhaitez en savoir plus sur les enjeux stratégiques d’un diagnostic d’entreprise, n’hésitez pas prendre contact avec notre équipe d’AXIESS, qui saura vous guider et vous conseiller au mieux.