Le Blog Amazon Web Services

7 conseils pour réussir sa mise en conformité au RGPD

Si la sécurité a toujours été une priorité absolue pour AWS, le Règlement Général pour la Protection des Données renforcera la confidentialité et la protection des données ; deux des piliers de la culture de la sécurité d’AWS. C’est donc naturellement qu’AWS a annoncé la conformité au RGPD de l’ensemble de ses services près de deux mois avant l’échéance. La plupart des clients AWS peuvent ainsi aborder l’entrée en vigueur de ce règlement avec plus de sérénité après avoir pris en compte les trois points suivants :

  • L’importance du RGPD a poussé les organisations à établir un plan pour traiter les données personnelles des résidents de l’U.E., d’une part parce que cela leur assure une bonne gouvernance et d’autre part parce que le RGPD prévoit des sanctions importantes en cas de non-conformité.
  • La mise en conformité au RGPD est complexe et a potentiellement impliqué un investissement humain important ainsi que l’utilisation de nombreux outils. De plus, le processus de mise en conformité a pu concerner plusieurs branches de l’organisation, impactant ainsi les équipes, les processus et la technologie.
  • Chaque organisation est unique et il existe plusieurs façons d’évaluer la conformité au RGPD. Aussi, il était important de cerner avec précision les spécificités de l’organisation et de son secteur.

Afin d’aider ses clients à passer le cap du RGPD, AWS a d’ailleurs proposé une liste de 7 conseils à suivre pour réussir sa mise en conformité au RGPD :

1. Impliquer les dirigeants

Dans chaque organisation, il faut que la direction suive de près l’état d’avancée de la mise en conformité au RGPD. Les enjeux de la conformité sont importants donc si le RGPD ne reçoit pas l’attention nécessaire, notamment de la part de ses dirigeants, une organisation court le risque d’être sanctionnée par les autorités compétentes.

2. Centraliser les efforts de mise en conformité au RGPD

Le pilotage centralisé du projet de mise en conformité au RGPD est crucial. Cela peut sembler évident, mais une gestion distribuée de ce projet pourrait provoquer des redondances et/ou des divergences dans la façon dont les différents membres de l’équipe travaillent.

3. Travailler main dans la main avec l’équipe juridique

Pour garantir la conformité au RGPD, l’équipe juridique est le meilleur partenaire afin de minimiser les risques et ainsi éviter de perdre du temps et de gaspiller des ressources. Il faut donc faire appel à des spécialistes pour interpréter les conséquences du RGPD en fonction de son activité. Pour éviter de paralyser sa mise en conformité en multipliant les analyses, il est indispensable d’obtenir des conseils juridiques pertinents, de collaborer pour avancer ensemble dans une même direction et au bon rythme.

4. Collaborer étroitement avec la direction technique

Les responsables des processus au sein de votre organisation savent déjà comment aborder les problèmes de gouvernance et n’auront probablement pas de difficulté à s’adapter au RGPD. En revanche, les équipes techniques, y compris celles en charge de la gestion des données, ont l’habitude de se concentrer sur une application métier spécifique. Pour assurer la mise en conformité au RGPD, les équipes doivent faciliter le suivi des données entre les systèmes. S’il ne s’agit pas d’une mission dont les équipes techniques ont l’habitude, il faut s’assurer de bien les accompagner.

5. Sortir des sentiers battus

Il existe plusieurs méthodes pour résoudre les problèmes de conformité au RGPD. Par exemple, les équipes AWS ont défini des exigences fondamentales, en fonction du contrôle ou de traitement de données et ont décidé d’un groupe de projets en partenariat avec les équipes juridiques. Cependant, il ne s’agit que d’une étape préalable qui apporte un éclairage intéressant pour gérer ses efforts de mise en conformité au RGPD. En effet, ces évaluations ne doivent pas guider trop étroitement le projet au risque de passer à côté d’un élément-clé pour assurer sa propre conformité. Ainsi, une solution générique et clé-en-main ne serait pas forcément pertinente.

6. Tirer parti du travail effectué au-delà de la mise en conformité

Le RGPD nécessite de sérieux efforts, mais ses bénéfices ne se limitent pour autant pas à la mise en conformité. En effet, les process définis pour la mise en conformité au RGPD pourront être réutilisés pour assurer une meilleure gouvernance à l’avenir. La confidentialité et la sécurité sont des thèmes sur lesquels il faudra continuer à travailler dans un proche avenir. Les organisations doivent donc faire en sorte que leur programme de gouvernance soit évolutif et réutilisable.

7. Penser avant tout à protéger les personnes

Voici un dernier conseil qui pourra faire toute la différence : les organisations doivent travailler en prenant pour point de départ les attentes de leurs clients, à savoir la protection de leurs données. L’attention que porte AWS à ses clients pousse l’entreprise à se demander ce que ses clients et les personnes concernées veulent et attendent d’eux. S’il peut suffire sur le plan technique d’envisager le RGPD d’un point de vue purement juridique ou de conformité, AWS est convaincu que la sécurité et la protection des données personnelles sont des objectifs qui doivent être appréhendés dans leur globalité. Cette vision globale sera définie efficacement en commençant par s’intéresser avant toute chose aux personnes que le RGPD se propose de protéger.

 

Pour plus d’informations à ce sujet, rendez-vous sur le Centre RGPD d’AWS.