Mener votre projet de conformité à la réglementation GDPR

La réglementation Européenne de protection des données personnelles GDPR sera en application en mai 2018. Constituée d’une centaine d’articles et de 173 « considérants », ce texte complexe renforce et précise les lois et règlements précédents, dans la lignée de la loi « informatique et liberté » française.

Ayant valeur de règlement s’appliquant sans nécessité de transposition sur l’ensemble du périmètre européen, l’impact pour les entreprises est donc global, sans risque de grandes divergences selon les pays du marché européen. Par contre, le dispositif de recours et de sanction est renforcé, avec des voies de recours juridictionnel, et des amendes administratives pouvant atteindre un niveau record (4% du chiffre d’affaire mondial).

Le changement majeur pour les entreprises et organisations concernées est le nouveau paradigme de responsabilisation : au système déclaratif antérieur, qui submergeait l’autorité de contrôle de paperasses, est substitué un principe de responsabilisation de l’acteur économique. En effet c’est au « responsable du traitement » de s’organiser et de veiller à opérer des traitements « conformes » à la loi, quels que soient les moyens ou organisations mis en oeuvre. Ce transfert de responsabilité et lourd de conséquences sur toute la chaîne productive. En particulier cette responsabilité est continue tout le long de la cascade de sous-traitance, impactant l’ensemble des intervenants. Au responsable du traitement de démontrer sa conformité, la licéité de ses opérations, le niveau de sécurité garanti, pour protéger les données personnelles, avec une attention particulière sur les données « sensibles ».

Ainsi, la rupture introduite a de nombreux aspects : juridiques (contrats avec les clients, contrats de sous-traitance, modalités de consentement, …), organisationnels (création d’un DPO : Data Protection Officer, chaîne de responsabilité interne, relations au sein d’un groupe, …), communication (e-réputation, éthique, …), technologiques (cyber-sécurité, architecture des SI, data-mining, …).

Elle implique un projet transverse pluri-disciplinaire associant en particulier juristes et spécialistes des technologies et de la conduite du changement.

Dans le cadre du Laboratoire du Club Urba-EA nous avons approfondi la question de l’architecture de conformité adaptée à la GDPR. Nous disposons de ce fait d’une avance et d’une compétence déterminantes par rapport aux approches fragmentaires des acteurs du marché.

L’expérience de projets complexes (conduite du changement, gestion de projet, architecture SI, migration,…) est indispensable pour votre projet GDPR.