RGPD

Le RGPD : Règlement Général sur la Protection des Données.

Appliqué le 25 mai 2018, le RGPD remplace la loi informatique et liberté. Le RGPD s’applique à toute entreprise traitant des données à caractère personnel de citoyens européens, que l’entreprise soit présente, ou non, sur le sol européen.

Le règlement se concentre sur 2 aspects fondamentaux :

  • La promotion d’une seule loi applicable à l’ensemble des pays européens
  • Protéger les droits des citoyens européens dans une ère numérique

Les risques liés au RGPD :

  • Coût financier
  • La plus haute amende pouvant être infligée dans le cadre d’une non-conformité aux normes du RGPD s’élève à 4% du chiffre d’affaires du groupe ou 20 millions d’euros.

  • Impact sur la réputation
  • Une fuite de données peut avoir un grand impact sur la santé tant financière que sur la réputation de l’entreprise, les deux étant bien évidemment liées.

L’approche Cylresc :

Le RGPD doit être appréhendé de manière pragmatique et ne doit pas être vu comme un exercice purement technique.
La première étape d’une mise en conformité réussie est de mobiliser une équipe en charge. Cette équipe devra bien évidemment être approuvée et appuyée par les actionnaires et dirigeants de l’entreprise. Une définition de l’approche au RGPD est cruciale dans cette première étape :

  • Approche globale : Appliquer le RGPD sur tous les sites et au niveau de toutes les populations de l’entreprise
  • Approche partielle : Appliquer le RGPD en se basant sur des critères précis tel que la localisation, les départements de la société, etc.

Une fois l’équipe choisie, il est important d’effectuer une analyse de risques au niveau des normes et des mesures imposées par le RGPD afin d’identifier les aspects les plus critiques de la société.

Les experts de Cylresc vous accompagnent sur cette analyse de risques et vous aident à déterminer votre niveau de maturité et de risques au RGPD. Ils procèdent à un audit qui consiste à « prendre une photo » de votre système d’information. Cette « photo » est réalisée à l’aide d’une première phase d’entretiens et d’une deuxième phase de revue documentaire. Le RGPD repose sur les trois domaines suivants :

  • Gouvernance : DG, juridique, DPO
  • Métiers : DRH, marketing, e-commerce
  • Système d’information : DSI, RSSI

La première étape consiste à réaliser un état des lieux au travers de l’évaluation des politiques, des procédures existantes, des processus métiers et des applications critiques. Suite à cela, les auditeurs identifieront les traitements critiques et réaliseront un audit de conformité des traitements mis en place.

La deuxième étape consiste à réaliser une cartographie en analysant les écarts et les non-conformités à la règlementation en vigueur vis-à-vis de l’existant. La cartographie est réalisée en prenant en compte les traitements de données à caractère personnel et les risques de non-conformité en fonction notamment des sanctions encourues.
Les auditeurs de Cylresc vous remettront un rapport vous permettant d’apprécier le niveau de maturité de l’entreprise au regard du RGPD.

L’étape suivante sera de constater les écarts entre les mesures actuellement implémentées et les recommandations de la CNIL relatives au RGPD. Cette analyse devra se faire encore une fois aux 3 niveaux cités plus haut (Gouvernance, métiers, système d’information).
Une fois ces écarts constatés, une feuille de route devra être rédigée permettant d’identifier les recommandations à mettre en place et les équipes à mobiliser pour la bonne mise en place des recommandations. Enfin, la dernière étape, qui est l’implémentation des mesures vu à l’étape précédente.