La protection de la vie privée est devenue un risque de conformité de premier plan pour les organisations du monde entier. GDPR (Europe), CCPA (Californie), APP (Australie), PIPEDA (Canada), PDO (Hong Kong), PIPA (Japon), ECTA (Afrique du Sud)... le monde de la conformité en matière de protection de la vie privée ressemble à un bol de soupe à l'alphabet, mais cette liste ne met en évidence que quelques-unes des nombreuses réglementations en matière de protection de la vie privée qui pèsent sur les organisations.
Le défi que pose le respect de la vie privée réside dans le fait que les entreprises sont dynamiques. Elle change de minute en minute et de seconde en seconde. Les données personnelles sont omniprésentes dans les données et les processus d'une organisation (par exemple, les données des employés, les données des clients et les données de vente). Vous étiez peut-être au top de vos obligations en matière de protection de la vie privée à la fin de 2019, mais l'organisation a changé de manière significative au cours des dernières semaines et doit maintenant également se préoccuper de la conformité au CCPA. Les processus ont changé, l'entreprise a changé, les employés ont changé, les tiers ont changé, vos clients ont changé.
La gestion du respect de la vie privée doit être gérée et contrôlée en permanence dans les organisations. Il ne s'agit pas d'un effort ponctuel, mais d'une question qui doit être abordée dans le contexte d'un changement organisationnel continu. Le respect de la vie privée consiste à identifier et à atténuer les risques liés à la conformité, à l'image de marque et à l'activité associés au traitement des données personnelles. Il s'agit de gérer les risques tout au long du cycle de vie des données dans une organisation et dans son réseau de processus, de transactions, de relations et d'interactions.
Voici les 7 habitudes des programmes de conformité en matière de protection de la vie privée les plus efficaces pour vous aider à rester sur la bonne voie :
1. Nommer un responsable de la protection de la vie privée
Dans le cadre du GDPR, il s'agit du délégué à la protection des données/au traitement des données. Quelqu'un doit être chargé de veiller à ce que les risques et la conformité en matière de protection de la vie privée soient pris en compte dans l'ensemble des organisations et de leurs juridictions. Pour les grandes organisations distribuées, cela peut nécessiter la mise en place de responsables régionaux de la protection de la vie privée qui rendront compte au responsable mondial de la protection de la vie privée de l'organisation.
2. Documenter les flux de processus de données
Le fondement de la conformité en matière de protection de la vie privée - qu'il s'agisse du GDPR, de la CCPA ou de bien d'autres - est la documentation des flux de traitement des données et la manière dont les informations personnelles (par exemple, les employés, les clients) entrent et circulent dans l'organisation, sont utilisées et consultées dans l'organisation, la disposition et les contrôles à ces stades, et l'interaction de ces flux de travail dans les relations avec les tiers.
3. Définir et communiquer les politiques de protection de la vie privée
En fin de compte, ce sont les employés (et les tiers) à tous les niveaux de l'organisation qui interagissent avec les informations personnelles. Le respect de la vie privée concerne davantage le front-office de l'organisation que la fonction back-office de la conformité. Les organisations doivent s'assurer qu'elles ont mis en place les bonnes politiques de protection et d'utilisation des données et de la vie privée et que les individus les comprennent dans le contexte de leur rôle au sein de l'organisation. La conformité à la protection de la vie privée exige des organisations qu'elles disposent d'un registre clair et défendable de la gestion des politiques, des communications, des attestations, des rappels et des activités de formation.
4. Réaliser des évaluations de l'impact sur la confidentialité des données.
Les organisations doivent avoir une compréhension claire de l'état de la conformité en matière de protection de la vie privée et du risque pour les informations personnelles dans leurs environnements dynamiques. Pour ce faire, il est nécessaire de procéder à une évaluation périodique de l'impact sur la vie privée des données, ainsi que de déclencher une évaluation entre les évaluations périodiques lorsque certains événements ou indicateurs de risque alertent l'organisation.
5. Surveiller les contrôles et l'utilisation des informations à caractère personnel
La surveillance continue de l'environnement est essentielle pour garantir la mise en place de contrôles et la protection des données à caractère personnel dans l'environnement. Pour ce faire, l'organisation doit savoir où les données personnelles sont stockées et utilisées, surveiller les fuites et les utilisations inappropriées et disposer de pistes d'audit complètes des interactions avec les données personnelles.
6. Mise en place de procédures de réponse aux incidents
Les plans les mieux conçus des souris et des hommes échouent. Même les meilleures organisations, dotées d'une culture et d'un engagement solides en matière de protection de la vie privée et d'intégrité, rencontreront des problèmes. Qu'elles soient malveillantes ou involontaires, les atteintes à la vie privée sont inévitables. Il est essentiel que l'organisation dispose de procédures claires de signalement des problèmes et de gestion des cas pour gérer les atteintes à la vie privée, qu'elles soient petites ou grandes. Les étapes et les plans d'intervention appropriés doivent être définis avant un incident, afin que l'organisation sache comment le gérer et ne commette pas d'erreurs coûteuses.
7. Régir les relations avec les tiers
Plus de la moitié des violations de données proviennent de tiers - entrepreneurs, consultants, sous-traitants, vendeurs, travailleurs temporaires, prestataires de services, etc. Les organisations doivent s'assurer que leurs tiers sont également en conformité et qu'ils suivent des politiques et des contrôles stricts qui sont alignés sur les politiques et les contrôles de confidentialité de l'organisation. Les responsables du traitement des données (par exemple, les tiers) ont une responsabilité juridique en vertu du GDPR et d'autres réglementations et ont des obligations directes de conformité juridique. Une exigence supplémentaire est que le responsable du traitement des données ne peut pas faire appel à une "quatrième partie" pour traiter des informations personnelles identifiables sans obtenir l'autorisation préalable de son client (c'est-à-dire le responsable du traitement des données).
Le prochain défi en matière de respect de la vie privée ?
Une fois que ces sept habitudes ont été prises pour mettre en place un programme de respect de la vie privée très efficace, le prochain défi consiste à le maintenir à jour. Le respect de la vie privée (et tous ses éléments) est un processus qui doit être géré en permanence dans l'organisation distribuée et dynamique d'aujourd'hui. Il ne s'agit pas d'un effort ponctuel, mais d'un effort qui doit être synchronisé avec l'entreprise au fur et à mesure qu'elle évolue, s'adapte, change et se transforme.
Le monde des affaires évolue de minute en minute et de seconde en seconde. Il faut donc une fonction permanente qui garantisse que chaque nouveau service ou processus commercial utilisant des informations d'identité personnelle au sein de l'organisation prenne en compte la protection des données personnelles lors de la conception de nouveaux processus opérationnels ou de la mise à jour de ceux qui existent déjà.
Pour parvenir à une conformité durable en matière de protection de la vie privée, les organisations doivent mettre en place des technologies efficientes, efficaces et souples pour s'adapter à un environnement commercial dynamique. Il ne s'agit pas d'un effort ponctuel, mais d'un travail continu de mise en conformité. Le fait de procéder manuellement à l'aide de documents, de feuilles de calcul et de courriels ne peut qu'entraîner des lacunes, des erreurs et, à terme, des problèmes importants de non-conformité pouvant donner lieu à des pénalités.
