Vous le savez, c’est le sujet d’actualité du moment, le Règlement Général européen sur la Protection des Données (RGPD) adopté le 27 avril 2016, entrera en application le 25 mai 2018.
Nombre d’articles de blogs, de conférences traitent du sujet, mais nous nous sommes demandés quels étaient les points clés à traiter 90 jours avant la mise en application lorsqu’on possède une ou plusieurs instances Salesforce.
Nous pensons que la RGPD n’est pas qu’une contrainte mais bien une opportunité supplémentaire d’optimiser vos processus de gestion des données à caractère personnel de vos clients, prospects ou affiliés, en les positionnant toujours plus au coeur de votre système d’informations tout en améliorant votre image de marque.
Malgré le manque de temps, il semble essentiel aujourd’hui de se poser les bonnes questions pour démarrer une cartographie de vos processus data avant de commencer un projet de gestion de vos PII (Personal Idenfiable Information) dans votre SI, et en particulier sur une ou plusieurs de vos instances Salesforce.
Réaliser un inventaire de vos données
- Quelles informations personnelles identifiables possédez-vous ?
- D’où proviennent-elles ?
- Comment sont-elles collectées ?
- Quels traitements subissent-elles ?
- Quel est l’objectif de ces traitements ?
- Des reportings sont-ils établis sur ces PII ?
- Vos prospects, clients ou tout individu qui interagi avec votre entité, ont-ils la possibilité de donner leurs consentements pour l’utilisation de leurs données personnelles, de s’y opposer et/ou bien de les récupérer ?
Mesurer le niveau d’accessibilité et de partage des données
- Qui et/ou quoi (partenaires, fournisseurs, tiers, collaborateurs internes, systèmes externes) a accès aux données et à quelles fins ? Comment les traitent-ils ?
- Qui détermine l’accès aux données en interne ou en externe? Quels sont les processus et responsabilités associés ?
- Quelles politiques de protection, de backup, d’archivage, de rétention ou même d’anonymisation y avez-vous apporté ?
Vérifier l’intégrité des données
- Votre système d’informations est-il fiable et robuste ?
- Comment les données sont-elles mises à jour ?
- Quels contrôles avez-vous mis en place pour vous assurer que les données ne seront pas exposées à des personnes non autorisées ou à des fins non réglementaires ?
Toutes ces questions ne sont bien sûr qu’une base de réflexion pour la suite. Vous pouvez vous appuyer sur des templates de DPIA, (Data Protection Impact Assessment) ou bien même le nouveau logiciel développé par la CNIL : PIA Software destinés aux data controllers, afin d’approfondir, structurer et consolider votre analyse.
Dans nos prochains articles sur ce thème, nous tâcherons de vous apporter les clés pour mettre en oeuvre l‘un des grands principes issus de la RGPD : l’anonymisation au sein de votre instance Salesforce.