Dans tout juste un an, le 25 mai 2018 précisément, toutes les entreprises européennes et/ou installées sur le territoire de l’Union Européenne devront être en conformité avec le nouveau Règlement Général sur la Protection des Données (GDPR), concernant la « protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ».
Or, dans un délai aussi court, se mettre en conformité avec la nouvelle réglementation européenne (et y rester) s'apparente à un véritable défi pour les entreprises, tant d'un point de vue organisationnel que technique, comme le souligne Dominique Orban, de la société belge Rever, spécialisée dans le traitement des données et de l'information d'entreprise : La multiplicité des activités soutenues par des applications informatiques, la diversité des technologies employées, ainsi que la complexité des codes et des processus techniques ont enfoui les données dans des strates si profondes qu’il est particulièrement complexe de les mettre à jour et les comprendre.
Une suite logicielle complète et unique sur le marché
C'est donc dans l'optique d'accompagner les entreprises et les aider à relever ce défi que Rever s'est associée à l'entreprise française Actecil pour mettre au point une suite logicielle complète unique sur le marché.
Cette suite permet à chacun des acteurs d'une entreprise (CDO, DPO, juriste, métier, technique) de contribuer au travail collaboratif de mise en conformité dans son domaine de spécialisation.
Dominique ajoute : La suite logicielle que nous avons créée permet de construire et de maintenir un « référentiel GDPR » contenant le registre des traitements (aspects métiers) et ses liens avec les applications informatiques (aspects techniques).
Les obligations des entreprises
Concrètement, dans le cadre de cette nouvelle réglementation, les entreprises devront être en mesure de :
- respecter les droits des personnes, que ce soit le droit à l’information, le droit d’accès, le droit de rectification ou encore le droit d’effacement ;
- protéger les données personnelles contre toutes pertes, vols ou mauvaises utilisations accidentelles ou volontaires ;
- construire et maintenir un « registre des traitements » décrivant la ou les raisons du traitement, les données personnelles utilisées, les règles suivies en matière de conservation des données, les éventuels transferts de données, les mesures organisationnelles et techniques de protection, etc.
Focus sur le référentiel GDPR
Ce référentiel se compose de trois niveaux de description :
- les traitements, qui décrivent les différentes activités de l’entreprise concernées par la GDPR, du point de vue du « métier ». Ces traitements peuvent être automatisés ou manuels, ou les deux à la fois. Les différentes informations sont enregistrées au moyen d’un logiciel spécialisé doté d’une interface simple et conviviale. Ce logiciel assure par ailleurs la gestion des versions au fil du temps et intègre les outils permettant de spécifier et de suivre les tâches à accomplir pour la mise en conformité.
- les cartes des données personnelles, qui décrivent les localisations des données personnelles dans les différentes bases de données de l’entreprise. L’affectation aux données techniques du nom des données indiquée dans les traitements permet de relier les traitements à la réalité technique.
- les cartes des programmes, qui décrivent quant à elles quels sont les traitements automatisés utilisant les données personnelles. Ces cartes permettent notamment de tracer l’utilisation des données personnelles par les processus, de vérifier ceux qui les modifient, les lisent… Ces informations permettent notamment de réaliser des analyses d’impact, par exemple dans le cas de « privacy by redesign » ou pour l’établissement d’un PIA (Privacy Impact Assesment)