L’application du RGPD c'est demain!
Êtes-vous prêt pour la mise en conformité avec le règlement général sur la protection des données (RGPD) de l’Union européenne qui entrera en vigueur le 25 mai 2018 ? Le RGPD est annoncé comme le changement le plus important dans le domaine des réglementations sur la confidentialité des données depuis 20 ans, et vous avez certainement vu de nombreux articles sur la préparation et la planification à la conformité avec le RGPD.
Mais, si vous en êtes encore aux étapes d’audit et de planification du RGPD, Il est plus que temps de passer à l’action. La tâche de coordination de l’ensemble des systèmes et acteurs qui doivent permettre d’atteindre et de démontrer la conformité avec le RGPD est colossale. Réussir l’automatisation des processus métier afin d’être conforme au RGPD et de prouver cette conformité sera peut-être l’élément qui vous évitera des lourdes amendes.
Arrêtez d’envisager la conformité avec le RGPD comme une question concernant uniquement les technologies de l’information
Vous vous souvenez de toutes les préparations en 1999 pour le bug de l’an 2000 ? On peut envisager la conformité avec le RGPD comme le grand événement informatique de cette année. Mais, c’est une erreur de considérer le RGPD comme une question purement informatique.
La conformité avec le RGPD touchera probablement chaque département de votre entreprise et concernera de multiples responsables et de nombreux processus. L’impact sur les systèmes d'information et les organisations va être profond.
Même si votre entreprise ne traite pas directement avec des clients ou des partenaires établis dans l’Union européenne, vous pouvez quand même être concerné par les domaines d’application du RGPD. Il suffit qu’une personne établie dans l’UE interagisse avec votre entreprise, à n’importe quel niveau, pour que votre entreprise soit concernée par les exigences du RGPD.
Par exemple, l’un des thèmes du RGPD est désigné par l’expression « le droit à l’oubli » ou l’effacement des données. Lorsqu’une personne établie dans l’Union européenne demande l’effacement complet de ses informations des bases de données de votre entreprise, réfléchissez une minute à ce que cela implique réellement.
Tout d’abord, les « données à caractère personnel » du RGPD sont vastes. Selon la FAQ du site web officiel du RGPD, elles comprennent : « Toute information concernant une personne physique ou « personne concernée » qui peut être utilisée pour identifier la personne physique directement ou indirectement. Il peut s’agir d’un nom, d’une photo, d’une adresse électronique, de coordonnées bancaires, d’articles sur des sites web de réseaux sociaux, d’informations médicales ou d’une adresse IP d’ordinateur. »
Vous devez ensuite déterminer la relation du demandeur avec votre entreprise. Quels systèmes pourraient potentiellement contenir des données à caractère personnel sur cette personne ? Ce n’est pas aussi simple que de déterminer que les données clients sont enregistrées dans votre système CRM ou que les informations sur vos partenaires sont stockées dans votre système de gestion de base de données relationnelle (RDBMS) interne.
Prenez en compte tous vos processus internes impliquant des données. Pourriez-vous détenir des données financières sur cette personne même si celle-ci n’a pas effectué de transaction financière avec votre entreprise ? Qu’en est-il de vos systèmes marketing et commerciaux ? L’équipe customer success? Le support clients ? Est-ce qu’un membre de votre entreprise a pu citer cette personne dans une communication interne ou externe ? La personne a-t-elle pu interagir avec l’un de vos réseaux sociaux ? Et qu’en est-il des sauvegardes de tous ces systèmes ?
Quelles sont vos règles internes régissant la gestion des données pour chacun de ces systèmes ? Par exemple, quelles sont les règles d’engagement pour vos données marketing ? Existe-t-il des règles pour la suppression des données ou les données ont-elles des dates d’expiration ?
En plus des mesures d’audit et de documentation de l’emplacement de toutes les données internes qui pourraient être concernées par le RGPD, avez-vous commencé à mettre en œuvre des processus pour définir comment tous vos systèmes gèrent l’accès aux données, le mouvement et la persistance des données ? Avez-vous mis en œuvre les flux de travail appropriés pour répondre totalement au « droit à l’oubli » et à d’autres aspects du RGPD ? Une plateforme de gestion des processus métier (BPM) peut vous aider à répondre à ces questions.
Le BPM est conçu pour mettre de l’ordre et de l’efficacité dans le flux des processus complexes via l’automatisation des processus. Le BPM peut rationaliser et simplifier la conformité avec le RGPD en rendant les processus étroitement liés plus fluides, en documentant simultanément les flux de processus et en fournissant une traçabilité, ce qui est un élément clé de la preuve de conformité avec le RGPD.
Démontrer la conformité avec le RGPD
Comme nous l’avons déjà mentionné à plusieurs reprises, il ne suffit pas d’être conforme au RGPD ; vous devez pouvoir prouver la conformité à la satisfaction des autorités de l’Union européenne. Les plateformes BPM peuvent ici jouer un rôle, car elles gèrent les processus en temps réel et créent un fichier traçable documentant ce qui s’est passé et quand.
Voici un exemple rapide : un éditeur de logiciels doit documenter la conformité avec la demande d’une personne établie dans l’UE à être oubliée dans tous ses systèmes. La plupart des données de l’entreprise résident dans un système SalesForce, mais les données à caractère personnel peuvent également se trouver dans les bases de données de comptabilité, de marketing et de suivi des licences logicielles de l’entreprise ainsi que dans les articles des différents réseaux sociaux.
Une plateforme BPM peut être utile pour rechercher, supprimer et documenter l’effacement des données à caractère personnel du demandeur dans tous ces systèmes. La plateforme BPM indique la date et l’heure de chaque étape de chaque processus. Elle identifie la personne qui, dans l’entreprise, est responsable de l’effacement des informations dans chaque base de données, puis enregistre le moment où chaque suppression a été effectuée.
Étant un intergiciel, BPM peut également gérer les processus dans différentes applications de votre entreprise. Sans BPM, il serait nécessaire d’écrire des processus pour chacune de vos bases de données séparément. Avec cette approche manuelle, il est beaucoup plus difficile de s’assurer que chaque base de données concernée a été vérifiée, mais également de documenter que chaque instance des données à caractère personnel du demandeur a bien été effacée.
Se préparer aux prochains défis semblables au « RGPD »
Il est important de rappeler que le RGPD est un processus et qu’il est complexe. Il ne s’agit pas d’une liste de contrôle ou d’une série d’étapes aléatoires. Il peut être conçu comme un processus méthodique pour gérer les données à caractère personnel dans toutes les bases de données de votre entreprise. C’est la raison pour laquelle une plateforme BPM est parfaitement indiquée pour la conformité avec le RGPD.
De plus, une plateforme BPM vous permet de transformer vos processus métier afin d’être conforme au RGPD tout en continuant d’exploiter vos actifs informatiques existants. Vous pouvez commencer à utiliser la plateforme BPM pour structurer vos flux de travail et vos systèmes liés au RGPD afin qu’ils soutiennent l’exécution efficace des tâches de conformité. Une fois que ce modèle de gestion des processus est mis en place, vous pouvez ajouter les applications basées sur la plateforme que vous utilisez déjà, y compris les outils CRM, ERP et les développements personnalisés en Java, .NET ou l’infrastructure existante.
Le monde de plus en plus interconnecté dans lequel nous vivons complique la gestion et la confidentialité des données. Les défis posés par le RGPD ont peut-être pris votre entreprise par surprise. Les processus de votre entreprise sont peut-être suffisamment simples pour vous permettre, pour l’instant, de les gérer manuellement.
Toutefois, en adoptant une plateforme BPM, vous serez mieux préparé pour répondre à toute future réglementation sur la gestion des données qui ne manquera pas de voir le jour.