RGPD : leçons 4 et 5, documenter — être conforme — améliorer

Tout au long de notre démarche, nous avons découvert la diversité, la portée et l’emplacement de nos données. Nous avons commencé à les administrer. Nous les avons protégées et nous les avons sécurisées. Cependant, accomplir ces tâches ne suffit pas à assurer la conformité.

Elles ne répondaient qu’aux 3 premiers principes des 5 leçons apprises.

  1. Connaissez vos données
  2. Administrez vos données
  3. Protégez vos données
  4. Documentation et conformité
  5. Amélioration continue

Cette démarche nous mène aux deux derniers principes : documentation et conformité et amélioration continue.

Les leçons 4 et 5 peuvent être regroupées. Tout ce que vous faites aujourd’hui en matière de documentation et qui est automatisé peut aussi être utilisé pour l’amélioration continue.

D’abord, il est important de documenter chaque processus de votre environnement. Les données elles-mêmes doivent être classées et sécurisées, mais qu’en est-il de l’infrastructure et des services sous-jacents ? Que se produit-il si vos données sont déplacées d’un lieu à un autre ? Si un collaborateur change de service, recevra-t-il les droits appropriés à ses nouvelles responsabilités et ses droits antérieurs seront-ils révoqués ? Les données que vous recueillez et qui étaient pertinentes il y a 6 mois le sont-elles encore aujourd’hui ? (Réutilisez les questionnaires de la leçon 1 régulièrement.) Vos fournisseurs tiers ont-ils changé leur manière de traiter vos données pour répondre aux nouvelles obligations ? Les données de votre workload le plus récent sont-elles protégées dès la conception ? Chiffrées pendant leur transfert lorsque c’est nécessaire ? Ce ne sont que quelques-unes des questions que vous devez vous poser en permanence.

La documentation est non seulement utile en cas d’audit, mais aussi à votre délégué à la protection des données interne (ou à toute personne assumant ce rôle, selon la taille de votre entreprise). Votre délégué à la protection des données pourra utiliser cette documentation pour réviser les flux de travail, modifier les accès à certaines données et s’assurer que l’entreprise reste conforme à la législation.

De nombreuses questions exigeront des inspections manuelles, mais d’autres peuvent être automatisées au moyen de tableaux de bord et de rapports. Nous avons déjà dit qu’un seul composant technologique ne pourra pas répondre à toutes vos obligations. Votre délégué à la protection des données devra donc recevoir des rapports et consulter des tableaux de bord issus de différentes sources. Ces informations proviendront de sources multiples : les données elles-mêmes, l’infrastructure de fourniture des données, les profils de sécurité et de protection des données (vérification des accès, violations potentielles…), les inspections manuelles, etc.

Le RGPD exige une supervision, un audit, des vérifications et des améliorations constantes.

Conclusion

La voie qui mène à la conformité au RGPD ne s’arrête pas le 25 mai 2018. Ce n’en est que le début. Atteindre la conformité et la maintenir nécessite une supervision, un audit, des vérifications et des améliorations constantes. Une seule solution technique de documentation et de supervision n’existe pas à l’heure actuelle. Les rapports et les tableaux de bord proviendront de sources internes variées. Une partie du travail sera manuelle alors que l’autre sera effectuée par les diverses solutions techniques en place. Assurez-vous d’examiner les données que chaque solution peut vous fournir afin que votre délégué à la protection des données les supervise et les révise si nécessaire.

La démarche de conformité au RGPD de Veeam a été un exercice utile et enrichissant. Nous sommes heureux de faire part de nos conclusions pour aider nos clients et nous assurer que nos utilisateurs éprouveront la confiance nécessaire dans leur expérience numérique.

Exit mobile version