Mise en place d’un programme de conformité au RGPD
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Expliquer comment Salesforce aide ses clients à respecter le RGPD.
- Décrire différentes activités pouvant permettre aux entreprises de se préparer à l’entrée en application du RGPD.
Salesforce s’engage pour le respect de la vie privée.
Chez Salesforce, la confiance est notre valeur première, et rien n’est plus important que le succès de nos clients et la protection de leurs données. Salesforce est le premier du top 10 mondial des éditeurs de logiciels à avoir protégé les données de ses clients grâce à des règles internes d’entreprise pour sous-traitants approuvées par les autorités européennes de protection des données.
Salesforce considère le RGPD comme une étape importante pour la normalisation des exigences de protection des données dans l’Union européenne. Nous avons travaillé en étroite collaboration avec des législateurs européens, des autorités européennes de protection des données et des associations regroupant des acteurs de l’industrie tout au long du processus de développement et d’approbation du RGPD. Nous sommes résolus à respecter le RGPD dans les services que nous fournissons à nos clients. Et nous sommes résolus à veiller à ce que nos clients puissent continuer à utiliser nos services tout en étant conformes au RGPD. Nous savons que, tout comme pour d’autres obligations légales existantes, le respect du RGPD exige une coopération entre Salesforce et nos clients.
Nous avons mis en place de solides programmes de sécurité et de protection de la vie privée pour satisfaire les normes les plus élevées de l’industrie. Ils nous permettent de respecter un large éventail de lois et de réglementations sur la protection des données applicables à Salesforce. Nos services ont obtenu de nombreuses certifications de sécurité sur la base des mesures administratives, techniques et physiques mises en place pour protéger les données à caractère personnel de nos clients. Selon les services, ces certifications incluent les normes ISO (Organisation internationale de normalisation) 27001 et 27018, les rapports SOC (Contrôles des systèmes et des organisations) de l’Institut américain des CPA (AICPA), les normes de sécurité des données de la PCI (Industrie des cartes de paiement), le Cloud Computing Compliance Controls Catalogue (C5) de l’Office fédéral allemand pour la sécurité des informations (BSI) et le programme britannique Cyber Essentials. Nos services ont également obtenu le label de certification TRUSTe, qui signifie que l’organisme de certification de confidentialité TRUSTe a examiné nos pratiques en matière de protection de la vie privée et a conclu qu’elles étaient conformes à leurs normes de certification.
De plus, Salesforce propose à ses clients un solide accord sur le traitement des données à caractère personnel contenant des engagements forts en matière de protection de la vie privée, que peu d’éditeurs de logiciels peuvent égaler. Cet accord contient des mécanismes de transfert de données permettant à nos clients de transférer des données à caractère personnel à Salesforce en dehors de l’Union européenne en toute légalité, que ce soit en s’appuyant sur nos règles internes d’entreprise ou sur les clauses contractuelles types.
Enfin, Salesforce publie une documentation Trust and Compliance pour chacun de ses principaux services. Cette documentation décrit l’architecture de chaque service, les audits et certifications de sécurité et de confidentialité de ce service, ainsi que les contrôles administratifs, techniques et physiques applicables. La documentation décrit également l’environnement d’infrastructure et les entités qui jouent un rôle indispensable à la fourniture de nos services.
Passons en revue les trois mécanismes employés par Salesforce pour faciliter les transferts de données transfrontaliers.
Mécanismes de transferts transfrontaliers de données | Description |
---|---|
Règles internes d’entreprise | Également appelées BCR, ce sont des politiques de protection des données appliquées à l’échelle de toute l’entreprise et approuvées par les autorités européennes de protection des données pour faciliter les transferts de données à caractère personnel depuis l’Espace économique européen (EEE) vers des pays qui n’en font pas partie. Les BCR reposent sur des principes stricts de protection de la vie privée établis par les autorités européennes de protection des données. Elles sont établies en étroite concertation avec ces autorités. Salesforce est le premier du top 10 mondial des éditeurs de logiciels à avoir obtenu la validation des BCR applicables à ses sous-traitants. |
Clauses contractuelles types | Également appelées « clauses types », ce sont des contrats entre les parties qui transfèrent des données personnelles depuis l’Europe vers des pays en dehors de l’EEE. La Commission européenne a élaboré et approuvé les clauses contractuelles types, qui contiennent des obligations détaillées concernant la protection des données à caractère personnel. |
Préparation à la conformité au RGPD
La conformité au RGPD exige une coopération. Les clients de Salesforce ne peuvent s’appuyer exclusivement sur Salesforce pour assurer leur conformité au RGPD. Toute entreprise soumise au RGPD peut prendre des mesures pour assurer sa conformité à la loi. Que peuvent faire les entreprises ?
Obtenir l’adhésion des différents services et former une équipe
La première chose à faire consiste à veiller à ce que la direction soit consciente de l’importance de la conformité au RGPD. Atteindre la conformité nécessite un engagement fort des entreprises en termes de ressources humaines et d’investissements financiers. C’est une démarche très difficile si la direction ne prend pas la mesure des risques et des enjeux.
Ensuite, il faut identifier l’équipe qui sera chargée de coordonner l’effort de mise en conformité. L’entreprise doit désigner un responsable qui supervisera l’initiative et pourra potentiellement endosser la fonction de délégué à la protection des données. Chaque service de l’entreprise peut désigner un ou plusieurs contacts. Ces personnes pourront ensuite identifier les collègues qui manifestent un intérêt réel pour les questions de protection de la vie privée et souhaitent jouer le rôle d’ambassadeurs dans ce domaine. Il est particulièrement important que l’équipe de mise en conformité compte des représentants de la sécurité informatique, des achats, du service juridique, des ressources humaines, de la gestion des produits et du marketing.
Évaluation de votre organisation
Une fois qu’une entreprise a constitué son équipe transverse, celle-ci peut analyser les efforts actuels de l’entreprise en matière de confidentialité et de sécurité afin d’identifier les domaines prioritaires. Un aspect important de l’analyse consiste à comprendre où l’entreprise conserve les données à caractère personnel. De nombreuses entreprises se rendent alors compte qu’elles ont des dizaines, voire des centaines de bases de données et systèmes différents qui contiennent des données à caractère personnel. Les données à caractère personnel sont celles des employés, des candidats à des postes, des visiteurs qui ont rempli des formulaires en ligne, ont participé à des concours ou sont membres de programmes de fidélité, de personnes qui ont fait des achats, rempli un bon de remise ou de garantie, assisté à un événement ou contacté le service client par e-mail, par téléphone ou via un réseau social.
Au fur et à mesure que l’entreprise identifie où elle conserve ces données, l’équipe peut constituer un inventaire indiquant, pour chaque système de stockage, le type des données conservées, leur provenance, leur usage, les personnes y ayant accès, la méthode de sécurisation, les tiers auxquels elles sont transférées et la durée de conservation. Dans le cadre de cette démarche, l’équipe peut également identifier tous les tiers qui envoient des données à caractère personnel à l’entreprise ou à qui elle en transfère.
À partir de cette analyse, l’entreprise peut créer un registre des activités de traitement des données et identifier celles qui présentent un risque élevé sur le plan de la protection de la vie privée. Pour chaque activité à haut risque, elle peut alors réaliser une analyse d’impact sur la protection des données afin de déterminer les mesures à prendre pour assurer la protection des droits de manière efficace.
Mise en place de contrôles et de processus
Une fois qu’une entreprise a une meilleure vision de ses données, l’équipe peut élaborer la feuille de route des changements opérationnels et techniques nécessaires. Cette feuille de route peut veiller à ce que l’entreprise dispose des contrôles et processus appropriés, par exemple :
Avis relatifs à la protection de la vie privée : Les avis relatifs à la protection de la vie privée doivent être fournis à chaque fois que des données à caractère personnel sont recueillies, y compris par le biais de cookies et de balises sur un site web.
Limitation des usages : Des contrôles administratifs ou technologiques peuvent être utilisés pour limiter l’usage des données aux seules finalités pour lesquelles elles ont été recueillies par l’entreprise.
Sécurité : Des mesures de sécurité administratives, physiques et technologiques sont nécessaires pour empêcher la consultation, l’utilisation, la modification, la divulgation et la suppression non autorisées des données à caractère personnel.
Droits des personnes concernées : Des mécanismes et des procédures doivent impérativement permettre de gérer les préférences et le consentement des personnes concernées, et de répondre aux réclamations et aux demandes d’accès, de rectification, de restriction, de portabilité et de suppression.
Gestion des fournisseurs : L’entreprise doit conclure avec les filiales, les fournisseurs et autres tiers qui recueillent ou reçoivent des données à caractère personnel des accords tels que les clauses contractuelles types ou autres mécanismes permettant de légaliser le transfert de données en dehors de l’UE.
Réponse aux incidents : Des processus doivent être créés pour détecter et gérer les failles de sécurité, c’est-à-dire les corriger et informer toutes les parties concernées.
Formation : Les employés et les fournisseurs doivent être formés et sensibilisés aux politiques, mesures et exigences de protection de la vie privée, et doivent être à même signaler toute préoccupation et toute activité suspecte concernant les données.
Évaluations : Des analyses d’impact sur la protection des données doivent être réalisées pour chaque activité de traitement de donnée à haut risque.
Documentation sur la conformité
Une fois qu’une entreprise est engagée sur la mise en conformité, l’équipe peut se consacrer à documenter ce qui est mise en œuvre . Elle peut rassembler les avis relatifs à la protection de la vie privée et les formulaires de consentement, l’inventaire des données et le registre des activités de traitement des données, les politiques et procédures rédigées, le matériel de formation, les accords internes concernant les transferts de données, et les contrats passés avec les fournisseurs. Si nécessaire, l’entreprise peut désigner un délégué à la protection des données et identifier l’autorité européenne de supervision appropriée. Elle a également tout intérêt à réaliser, à intervalle régulier, des évaluations ou des audits de son programme de protection de la vie privée afin de vérifier que tout fonctionne comme prévu.
Le chemin de la mise en conformité au RGPD est semée de questions, de choix et d’analyses complexes. C’est un parcours long, mais passionnant, que chaque entreprise doit entreprendre avec l’appui de sa direction et les conseils de partenaires internes et externes qui maîtrisent le sujet. Toutefois, cette démarche devient plus simple si l’on garde à l’esprit le grand principe fondateur du RGPD qui est énoncé explicitement en introduction du RGPD : la protection des données personnelles est un droit fondamental.