Le RGPD et la crise sanitaire, zoom sur le Webinar de DPO Value
Quels sont les événements marquants de la crise sanitaire ?
Durant la crise sanitaire, l’utilisation du matériel informatique a été modifiée dans l’urgence. Beaucoup de collaborateurs des entreprises ont été dans l’obligation d’utiliser leur matériel personnel. Les process liées à la sécurité IT n’ont pas forcément été réfléchi pour la cohabitation d’une utilisation professionnelle et personnelle. Plusieurs risques ont pu être recensé :
- Le partage de l’ordinateur professionnel avec la famille (surf sur des sites à risques)
- La liaison internet domicile – entreprise non sécurisée (box et wi-fi personnel)
- Les vidéoconférences avec des applications gratuites vulnérables (Zoom, WhatsApp, Skype,…)
- L’augmentation sensible des cyberattaques (phishing, arnaques, ransomware,…)
- La constitution de fichier de personnes infectées
- La prise de température généralisée (caméra thermique, courbe de température) avec la collecte de données de santé
- Le transfert de données non encadré et non sécurisé, …
Les entorses aux exigences du RGPD ont donc été nombreuses, exposant l’entreprise à des risques de sanctions.
Le retour après la crise sanitaire
Lors du retour massif en présentiel des collaborateurs, le plan de reprise d’activité intégrant la sécurité IT n’a souvent pas été activé. L’urgence était à la préservation de l’activité économique et non forcément à la surveillance des risques de sécurité IT, comme le partage de données ou les risques de propagation du virus. Globalement un manque de vigilance et une désorganisation ont été observés.
Quels sont les conséquences d’une entorse grave au RGPD ?
Gérer ces risques avec la « méthode » de conduite du changement PDCA (Plan Do Check Act) ?
Dès que votre entreprise emploie des salariés, il est fortement conseillé de mettre en place des procédures et une méthode d’amélioration continue de votre activité. En cas de crise, une méthode solide et éprouvée formera un rempart efficace contre l’amateurisme et les initiatives malheureuses.
La “méthode” RGPD, ou savoir gérer une crise suivant des règles “PDCA”
ETAPE 1 : DÉSIGNER UN PILOTE
L’alerte : le réfèrent Informatique et Libertés (ou DPO) est informé de la création d’un nouveau traitement (tentation de créer un nouveau fichier des personnes infectées)
ETAPE 2 : CARTOGRAPHIER
Privacy by design, le DPO analyse le contexte juridique, organisationnelle et de sécurité du traitement et active les procédures appropriées)
ETAPE 3 : PRIORISER
L’analyse et le tri des informations permet d’identifier les principales zones de risques et de prioriser les actions
ETAPE 4 : GÉRER LES RISQUES
DPIA : Des mesures d’atténuations des risques sont mises en œuvre ; des notifications de violations de données sont éventuellement réalisées
ETAPE 5 : ORGANISER
Les nouveaux processus déployés sont retranscrits dans les procédures déjà en place
ETAPE 6 DOCUMENTER
Accountability : le DPO réalise un document REX de synthèse, archive les traces des actions menées et complète la fiche registre
[…]
Conclusion du lien entre conformité RGPD et crise sanitaire
Mettre en valeur et à profit la conformité RGPD de sa société permet de maitriser les risques et de mieux redémarrer l’activité. De facto ce redémarrage dans de bonnes conditions va rassurer les clients de l’entreprise et conforter les positions concurrentielles.
Être conforme au RGPD, c’est savoir s’organiser dès qu’un nouvel évènement survient dans la société.
Et être organisé peut avoir un vrai impact sur la valorisation financière de l’entreprise et sur sa réputation :
- amélioration de la clause de garantie de passif,
- diminution du risque de sanctions financières Cnil (+ pénal),
- diminution des risques de cyber attaque ou de rançon (« rançongiciel »)
- amélioration du climat social, …
DPO Value vous aide et vous conseille dans la mise en place de sa “méthode” RGPD, à savoir gérer une crise grâce aux règles “PDCA”.
Voici un bref résumé du Webinar de DPO Value réalisé dans le cadre des ateliers de formation de SQY Cub, espace dédié à l’entrepreneuriat et à l’innovation de Saint-Quentin-en-Yvelines.
Si vous souhaitez recevoir l’intégralité de la présentation ou visionner le Webinar, contactez-nous par email : contact@dpo-value.fr ou via notre formulaire de contact
Adresse webinar youtube de SQYcub : https://www.youtube.com/watch?v=P0B4AFmVbbU
Leave A Comment