L’importance d’une approche basée sur les processus pour assurer sa conformité RGPD

Le Règlement général sur la protection des données prévoit des obligations étendues en matière de documentation et de responsabilité pour les entreprises. Les autorités ne sont maintenant plus tenues de fournir des preuves en cas d’infraction. Les entreprises et les organismes publics de leurs côtés ont la responsabilité de prouver qu’ils ont agi dans le respect des lois sur la protection des données.

Un système de gestion de la protection des données étanche qui cartographie tous les processus métier avec une composante de protection des données devient donc une condition préalable importante pour assurer la conformité RGPD. Mais comment mettre en place un tel système ? Tobias Przybylla, l’un de nos experts en processus chez Signavio, vous montre la marche à suivre en 4 étapes.

La conformité RGPD en 4 étapes

ACME AG est une entreprise internationale (et fictive) implantée dans plusieurs pays membres de l’UE. Un an après la mise en place du RGPD, l’entreprise fait toujours face au défi de devoir être conforme à 100% avec le RGPD et la protection des données des clients.

Pour cela, tous les processus liés de près ou de loin à la protection des données sont revus dans l’ensemble de l’entreprise. Est-ce que la gestion de la conformité RGPD actuelle est toujours valide ou alors faut-il mettre en place un plan d’optimisation des processus ?

Grâce à un système de gestion de la protection des données, ACME AG souhaite s’assurer que les processus liés au RGPD soient continuellement surveillés et optimisés. Les écarts de processus devront être identifiés, optimisés et les changements de processus futurs devront être initiés conformément aux exigences du règlement européen.

Les conseils d’administration et les responsables de la conformité se demandent de quelle façon ils peuvent mettre en œuvre de manière systématique les exigences du RGPD, y compris l’organisation ACME AG. L’objectif est la mise en place d’un système complet de gestion de la protection des données pour assurer un suivi des processus pertinents liés au RGPD.

Pour atteindre cet objectif et assurer sa conformité, ACME AG attaque l’approche en 4 étapes avec Signavio :

4 step guide to GDPR Implementation

Planifier: afin de classer les données à caractère personnel, un système IT est implémenté pour collecter les données liées au RGPD.
Identifier: pour découvrir quelles données personnelles sont cachées, et où, le management devra alors examiner les processus respectifs de l’entreprise.
Assigner: les données personnelles sont ensuite affectées aux informations de processus pertinentes pour le RGPD.
Surveiller: la quatrième étape est une tâche continue. Comme les processus et les systèmes IT changent, les informations personnelles ont besoin d’être surveillée régulièrement. Pour cela, il est important de vérifier continuellement quelle donnée personnelle est récoltée et au sein de quel processus ou systèmes IT cela se passe !

1ère étape : une planification juste

L’objectif

Toutes les données à caractère personnel doivent être collectées à partir des processus de l’entreprise et enregistrées, tout comme leur base légale pour le traitement. Ce processus de documentation devrait être réalisé à l’échelle de l’entreprise.

La méthode

  • installer un système de gestion de la vie privée
  • tenir à jour un répertoire central des activités de processus
  • vérifier la légalité du traitement des données personnelles

Pour commencer, ACME AG installe un système de gestion de la protection des données afin d’enregistrer le traitement de l’ensemble des données personnelles disponibles. Le système contient des informations concernant les responsabilités, un répertoire de traitement, les mesures techniques/organisationnelles ainsi qu’un système de gestion des risques.

Pour effectuer cela, ACME AG utilise le Signavio Process Manager, l’un des composants de la Signavio Business Transformation Suite. La solution située dans le cloud permet de constituer un glossaire personnalisable permettant de collecter des informations personnelles.

Le glossaire sert de dictionnaire centralisé d’objet et est utilisé comme un registre de processus métier. Il vous permet de définir les objets d’entreprise (par exemple : les unités organisationnelles ou les systèmes IT), de centraliser leur stockage au sein des processus et de les relier aux objets des processus métier. Cette information peut être définie comme catégories selon les besoins du RGPD et utilisée comme attributs pour les éléments des processus métier stockés.

Dictionary Items GDPR

Cependant, afin de mettre en place un système de gestion de protection des données pertinent, ACME AG doit aussi vérifier la légalité du traitement des données personnelles à chaque étape du processus lié de près ou de loin au RGPD. Cette étape peut aussi être implémentée en utilisant le glossaire.

Les propriétaires de processus définissent une catégorie pour les bases légales du traitement et l’assigne à un attribut pour les éléments des diagrammes de processus. Cette catégorie contient toutes les conditions individuelles définies selon le RGPD, comme le consentement du sujet dont nous récoltons les données et la réalisation d’un contrat. Avec cette nouvelle catégorie, un nouveau champs apparaît dans l’ensemble des processus métier pertinents à chaque fois qu’une donnée personnelle est traitée. Ce nouveau champs doit être complété par les processeurs respectifs.

Cela permet d’assurer que les informations RGPD pertinentes définies à cette étape sont stockées directement dans le processus.

2ème étape : identifier les informations personnelles

L’objectif

ACME AG doit maintenant identifier quelles informations personnelles sont cachées et où. L’organisation doit également savoir quelles responsabilités sont disponibles.

La Méthode

  • paramétrer le workflow RGPD
  • correction des diagrammes de processus par les décideurs pour être conforme au RGPD
  • approbation du processus par les décideurs

Lors de cette deuxième étape, vous identifiez les données personnelles. Tous les processus métier de l’entreprise sont vérifiés afin de définir leur pertinence au Règlement général sur la protection des données. Pour cela, ACME AG configure un workflow. Les fondations technologiques sont fournies par la solution de Signavio basée dans le cloud.

Le workflow permet à ACME AG de revoir systématiquement les diagrammes de processus à travers l’ensemble de l’entreprise. Ce workflow est automatisé et basé sur les étapes individuelles de processus qui ont été définies précédemment. À l’aide de ce workflow, les décideurs peuvent ainsi évaluer rapidement la qualité et la précision des diagrammes de processus et vérifier alors si les données personnelles sont traitées selon les indications du RGPD.

Pour implémenter le workflow, les participants au processus sont assignés aux attributs individuels. Ensuite, toutes les personnes en charge de la conformité RGPD doivent examiner leurs propres processus. Tous les processus qu’ils considèrent non-pertinents vont être sortis et publiés alors que les autres processus essentiels RGPD vont être révisés. Chaque activité au sein de ce workflow est documentée avec minutie.
Tout au long du workflow, ACME AG peut identifier les données personnelles avec succès !

3ème étape : assigner les données personnelles aux processus individuels

L’objectif

Assigner les données personnelles aux processus respectifs

La méthode

  • enregistrement des données personnelles
  • définition des responsabilités
  • visualisation des attributs
  • évaluation de l’impact sur la protection des données conformément à l’art. 35

ACME AG a installé un système de gestion de protection des données et a examiné avec attention les processus pertinents au RGPD. La troisième étape consiste maintenant à connecter tous les objets pertinents au RGPD avec les processus correspondant.

Pour cela, les managers de processus d’ACME AG créent un cadre d’attributs RGPD et les connectent au glossaire, catégorisent ensuite les attributs selon la guideline du  règlement européen, avant de les associer finalement aux diagrammes des processus individuels.

Dans ce contexte, les responsabilités peuvent aussi être définies et documentées dans les modélisations de processus, par exemple pour les agents de la protection des données ou autres décideurs. Cela est rendu possible grâce à l’attribution sur le diagramme de processus ou sur l’élément.

ACME AG a assigné les données personnelles aux processus. Maintenant l’entreprise fait face à un nouveau défi : le RGPD exige que l’évaluation de l’impact sur la protection des données soit mise en œuvre partout où il existe un risque élevé dans le traitement des données personnelles. Cela peut être le cas avec des données sensibles ou s’il y a une très grande quantité de données à traiter.

Toutes les conditions définies par le RGPD pour la mise en œuvre de cette évaluation des incidences sur la vie privée peuvent être déposées dans le système de gestion de la protection des données d’ACME AG en utilisant Signavio. Comme tous les risques et les contrôles, ces conditions peuvent aussi être stockées directement dans le Signavio Process Manager aux étapes des processus individuels. Pour cela, un attribut type “gestion des risques” est créé au diagramme de processus et au niveau de l’élément, le but de chacun est d’enregistrer tous les contrôles et les risques spécifiques au RGPD. Les catégories additionnelles du glossaire “Risques RGPD” et “Contrôles RGPD” définissent les attributs individuels pour les termes du glossaire correspondant.

Ainsi, ACME AG enregistre spécifiquement les risques et les contrôles dans le cadre de la mise en œuvre du RGPD.

Quatrième étape : surveillance des processus en continu

L’objectif

Conformité permanente au RGPD dans un paysage de processus en constante mouvance.

La méthode

  • workflow pour la surveillance continue de la conformité  RGPD
  • reporting
  • manuel des processus

La quatrième étape est une tâche continue : ACME AG se doit de surveiller régulièrement et constamment ses processus pour s’assurer qu’ils soient conformes avec les attentes du RGPD.
ACME AG utilise le workflow RGPD qui a été paramétré à la deuxième étape pour l’analyse initiale. Ce workflow permet de surveiller régulièrement les processus métier et peut être déclenché à tout moment lors d’un changement au sein du processus ou d’une variation.

En plus de ça, Signavio offre des options d’évaluation performantes qui vous permettent de créer et d’exporter vos rapports individuels. ACME AG génère des rapports de gestion des risques automatiquement pour continuellement surveiller l’ensemble des risques liés au RGPD et aux étapes de contrôles.

La surveillance continue des processus est importante, notamment en raison du renversement de la charge de la preuve, où les entreprises ont elles-mêmes l’obligation de prouver qu’elles se conforment au RGPD. Afin de se conformer à cette obligation de documentation, les responsables de processus d’ACME AG conçoivent un modèle de manuel de processus en utilisant Signavio.

Cela résulte à une vue d’ensemble des métadonnées pertinentes pour le RGPD que vous pouvez utiliser pour des audits, et qui peuvent aussi être configurées individuellement. Sous un graphique de processus, tous les attributs du RGPD peuvent être affichés au niveau du graphique, et toutes les informations peuvent également être perçues au niveau du diagramme et des éléments pour une meilleure vue d’ensemble.

Après la conception de ce template conçu pour la première fois, vous pourrez l’utiliser pour générer des documentations imprimables et archivables dans différents formats. En s’appuyant sur ces documentations, ACME AG peut ainsi prouver sa conformité

Préparation terminée

En suivant ces quatre étapes, ACME AG a réussi avec succès à mettre l’ensemble de ses processus en conformité et assurer le maintien de cette dernière.

Passez vous aussi à la conformité sans souci, testez la Signavio Business Transformation Suite pendant 30 jours gratuitement.

Note : Ce contenu constitue une information sans engagement et ne remplace en aucun cas un avis juridique.

Publié le 29 mai 2019 - Last modified: 13 juin 2019