L’importance d’une approche basée sur les processus pour assurer la conformité RGPD
Le Règlement général sur la protection des données impose des exigences étendues en matière de documentation et de responsabilité pour les entreprises. Les autorités ne sont désormais plus tenues de fournir des preuves en cas de violation. Il incombe aux entreprises et aux organismes publics de prouver qu’ils ont agi en conformité avec la législation sur la protection des données.
Il est donc essentiel de mettre en place un système de gestion de la protection des données solide qui cartographie tous les processus métier incluant la protection des données pour assurer la conformité RGPD. Mais comment instaurer un tel système ? Tobias Przybylla, l’un de nos experts en processus chez Signavio, vous guide à travers ces 4 étapes.
La conformité RGPD en 4 étapes
ACME AG est une entreprise internationale (fictive) présente dans plusieurs pays membres de l’UE. Un an après la mise en place du RGPD, l’entreprise est toujours confrontée au défi de garantir une conformité à 100% avec le RGPD et la protection des données des clients.
Pour ce faire, tous les processus liés de près ou de loin à la protection des données sont révisés dans l’ensemble de l’entreprise. La gestion de la conformité RGPD en place est-elle toujours valide ou est-il nécessaire de mettre en place un plan d’optimisation des processus ?
Grâce à un système de gestion de la protection des données, ACME AG souhaite s’assurer que les processus liés au RGPD soient continuellement surveillés et optimisés. Les écarts de processus doivent être identifiés, optimisés et les futurs changements de processus doivent être initiés conformément aux exigences du règlement européen.
Les conseils d’administration et les responsables de la conformité se demandent comment ils peuvent mettre en œuvre de manière systématique les exigences du RGPD, y compris au sein de l’organisation ACME AG. L’objectif est de mettre en place un système complet de gestion de la protection des données pour assurer le suivi des processus pertinents liés au RGPD.
Pour atteindre cet objectif et garantir la conformité, ACME AG suit une approche en 4 étapes avec Signavio :
1ère étape : une planification appropriée
L’objectif:
Toutes les données à caractère personnel doivent être collectées à partir des processus de l’entreprise et enregistrées, tout comme leur base légale pour le traitement. Ce processus de documentation doit être réalisé à l’échelle de l’entreprise.
La méthode:
- Mettre en place un système de gestion de la vie privée.
- Tenir à jour un répertoire central des activités de processus.
- Vérifier la légalité du traitement des données personnelles.
Pour commencer, ACME AG installe un système de gestion de la protection des données afin d’enregistrer le traitement de l’ensemble des données personnelles disponibles. Le système contient des informations sur les responsabilités, un répertoire de traitement, les mesures techniques/organisationnelles ainsi qu’un système de gestion des risques.
ACME AG utilise le SAP Signavio Process Manager, un composant de la Suite de Transformation des Processus Signavio, pour cela. Cette solution basée sur le cloud permet de constituer un glossaire personnalisable pour collecter des informations personnelles.
Le glossaire sert de dictionnaire centralisé des objets et est utilisé comme un registre des processus métier. Il permet de définir les objets d’entreprise (par exemple : les unités organisationnelles ou les systèmes IT), de stocker leurs informations au sein des processus et de les relier aux objets des processus métier. Les informations peuvent être catégorisées selon les besoins du RGPD et utilisées comme attributs pour les éléments des processus métier stockés.
Cependant, pour mettre en place un système de gestion de la protection des données pertinent, ACME AG doit également vérifier la légalité du traitement des données personnelles à chaque étape du processus lié au RGPD. Cette étape peut également être implémentée à l’aide du glossaire.
Les propriétaires de processus définissent une catégorie pour les bases légales du traitement et l’associent à un attribut pour les éléments des diagrammes de processus. Cette catégorie contient toutes les conditions individuelles définies selon le RGPD, telles que le consentement du sujet dont les données sont collectées et l’exécution d’un contrat. Avec cette nouvelle catégorie, un nouveau champ apparaît dans tous les processus métier pertinents chaque fois qu’une donnée personnelle est traitée. Ce champ doit être rempli par les responsables de traitement.
Cela garantit que les informations RGPD pertinentes définies à cette étape sont stockées directement dans le processus.
2ème étape : identifier les informations personnelles
L’objectif:
ACME AG doit maintenant identifier quelles informations personnelles sont cachées et où. L’organisation doit également savoir quelles responsabilités sont en jeu.
La méthode:
- Paramétrer le workflow RGPD.
- Corriger les diagrammes de processus par les décideurs pour qu’ils soient conformes au RGPD.
- Approuver le processus par les décideurs.
Lors de cette deuxième étape, vous identifiez les données personnelles. Tous les processus métier de l’entreprise sont vérifiés pour établir leur pertinence par rapport au Règlement général sur la protection des données. Pour cela, ACME AG configure un workflow. Les fondations technologiques sont fournies par la solution Signavio basée dans le cloud.
Le workflow permet à ACME AG de revoir systématiquement les diagrammes de processus dans toute l’entreprise. Il est automatisé et basé sur les étapes individuelles des processus qui ont été définies précédemment. A l’aide de ce workflow, les décideurs peuvent évaluer rapidement la qualité et l’exactitude des diagrammes de processus et vérifier si les données personnelles sont traitées conformément aux indications du RGPD.
Pour mettre en place le workflow, les participants au processus sont assignés aux attributs individuels. Ensuite, toutes les personnes responsables de la conformité RGPD doivent examiner leurs propres processus. Les processus qu’ils jugent non pertinents sont supprimés et les processus essentiels RGPD sont revus. Chaque activité de ce workflow est minutieusement documentée. Tout au long du workflow, ACME AG est en mesure d’identifier avec succès les données personnelles !
3ème étape : attribuer les données personnelles aux processus individuels
L’objectif:
Attribuer les données personnelles aux processus respectifs.
La méthode:
- Enregistrer les données personnelles.
- Définir les responsabilités.
- Visualiser les attributs.
- Évaluer l’impact sur la protection des données conformément à l’article 35.
ACME AG a installé un système de gestion de la protection des données et a examiné attentivement les processus pertinents pour le RGPD. La troisième étape consiste maintenant à connecter tous les objets pertinents au RGPD aux processus correspondants.
Pour cela, les responsables des processus d’ACME AG créent un cadre d’attributs RGPD et les connectent au glossaire. Ils catégorisent ensuite les attributs selon les directives du règlement européen avant de les associer aux diagrammes des processus individuels.
Dans ce contexte, les responsabilités peuvent également être définies et documentées dans les modélisations de processus, par exemple pour les délégués à la protection des données ou autres décideurs. Cela est possible grâce à l’attribution au niveau du diagramme de processus ou de l’élément.
ACME AG a attribué les données personnelles aux processus. L’entreprise est maintenant confrontée à un nouveau défi : le RGPD exige que l’évaluation de l’impact sur la protection des données soit réalisée partout où il existe un risque élevé dans le traitement des données personnelles. Cela peut être le cas avec des données sensibles ou lorsqu’il y a une grande quantité de données à traiter.
Toutes les conditions définies par le RGPD pour la mise en œuvre de cette évaluation d’impact sur la vie privée peuvent être enregistrées dans le système de gestion de la protection des données d’ACME AG en utilisant Signavio. Comme tous les risques et les contrôles, ces conditions peuvent également être stockées directement dans le SAP Signavio Process Manager aux étapes des processus individuels. Pour cela, un attribut de type “gestion des risques” est créé au niveau du diagramme de processus et de l’élément, dans le but d’enregistrer tous les contrôles et les risques spécifiques au RGPD. Les catégories supplémentaires du glossaire “Risques RGPD” et “Contrôles RGPD” définissent les attributs individuels pour les termes correspondants du glossaire.
Ainsi, ACME AG enregistre spécifiquement les risques et les contrôles dans le cadre de la mise en œuvre du RGPD.
4ème étape : surveillance continue des processus
L’objectif:
Garantir en permanence la conformité au RGPD dans un paysage de processus en constante évolution.
La méthode:
- Workflow pour la surveillance continue de la conformité RGPD.
- Reporting.
- Manuel des processus.
La quatrième étape est une tâche continue : ACME AG doit surveiller régulièrement et en permanence ses processus pour garantir leur conformité aux attentes du RGPD. ACME AG utilise le workflow RGPD configuré à la deuxième étape pour l’analyse initiale. Ce workflow permet une surveillance régulière des processus métier et peut être déclenché à tout moment en cas de changement ou de variation du processus.
De plus, Signavio offre des options d’évaluation performantes qui vous permettent de créer et d’exporter vos rapports individuels. ACME AG génère automatiquement des rapports de gestion des risques pour surveiller en permanence tous les risques liés au RGPD et les étapes de contrôle.
La surveillance continue des processus est importante, notamment en raison du renversement de la charge de la preuve, où les entreprises ont l’obligation de prouver elles-mêmes leur conformité au RGPD. Pour se conformer à cette obligation de documentation, les responsables de processus d’ACME AG conçoivent un modèle de manuel de processus en utilisant Signavio.
Cela permet d’avoir une vue d’ensemble des métadonnées pertinentes pour le RGPD, que vous pouvez utiliser pour des audits et qui peuvent également être configurées individuellement. Sous un graphique de processus, tous les attributs du RGPD peuvent être affichés au niveau du graphique, et toutes les informations peuvent également être consultées au niveau du diagramme et des éléments pour une meilleure vue d’ensemble.
Après la conception de ce modèle pour la première fois, vous pouvez l’utiliser pour générer des documentations imprimables et archivables dans différents formats. En s’appuyant sur ces documentations, ACME AG peut prouver sa conformité.
Préparation terminée
En suivant ces quatre étapes, ACME AG a réussi à mettre en conformité l’ensemble de ses processus et à garantir le maintien de cette conformité.
Passez vous aussi à la conformité sans souci, testez la SAP Signavio Process Transformation Suite gratuitement pendant 30 jours.
Note: Ce contenu est fourni à titre informatif et ne remplace en aucun cas un avis juridique.