Avant la date butoir du 25 mai 2018, on ne pouvait pas tourner une page sans tomber sur un article, un billet de blog ou une discussion concernant le règlement général de l'UE sur la protection des données (RGPD). Tout le monde s'est empressé de se conformer à cette nouvelle réglementation, mais la conformité RGPD, c n'est pas juste « la définir pour l'oublier ensuite » : elle implique des résultats continus que les organisations doivent maîtriser.

En quoi consistent les addendas relatifs au traitement des données ?

L'un de ces résultats est l'établissement d'addenda sur le traitement des données (ATD) avec tous les fournisseurs qui stockent et traitent des informations personnelles.

Les données à caractère personnel sont des informations relatives à une personne (ou « sujet de données ») qui peuvent être utilisées pour l'identifier. Selon la conformité au RGPD, les données personnelles comprennent de nombreux points de données comme :

• Noms
• Adresses e-mail
• Adresses IP
• Photos
• Informations médicales.

Il vous incombe d'établir un ATD avec chaque fournisseur concerné pour vous assurer qu'il respecte ses obligations. Voyez cela comme un moyen de s'assurer que chacun fait ce qu'il doit faire, quand il doit le faire.

Qui sont les « contrôleurs » et les « processeurs » du RGPD ?

L'article 4 du RGPD de l'UE les définit comme suit :

• Contrôleur : « La personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel. »
• Processeur : « Une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel au nom du contrôleur. »

Le processus de l'addendum sur le traitement des données

Vous établissez un ATD lorsque vous intégrez un nouveau fournisseur (par exemple, lors d'un audit préalable). Le processus se compose de ces quatre étapes :

1. Confirmez si le vendeur se trouve dans le champ d'application de la RGPD pour votre entreprise. Cette entreprise touchera-t-elle aux données personnelles de vos employés ou de vos clients ?
2. Obtenez leur modèle d'ATD. Le RGPD n'applique pas un format ATD standard, ce qui entraîne une grande variabilité. (Il suffit de rechercher dans Google « exemple d'ATD » pour voir.)
3. Faites examiner l'ATD par votre juriste.
4. Signez l'ATD et enregistrez-le dans votre système d'archivage d'ATD.

Comment HighBond vous assiste dans le cadre des addendas relatifs au traitement des données

Comme l'évaluation des fournisseurs est une exigence continue, nous avons décidé d'utiliser notre plateforme HighBond. Nous avons appliqué une procédure standard d'audit préalable en matière d'ATD. Nous avons découvert de nombreux avantages à utiliser notre propre logiciel.

Flux de travail automatisés

La saisie d'un fournisseur dans le champ d'application déclenche automatiquement un flux de travail. Cela est utile pour les grandes organisations qui exigent l'implication de plusieurs départements dans l'intégration des fournisseurs.

Étapes faciles à suivre

L'étape suivante consiste à définir ce que nous surveillons, les actions à réaliser et le moment où elles doivent être déclenchées.

Dans l'image ci-dessous, le statut du fournisseur est en cours de révision. En effet, notre service juridique doit revoir l'ATD une fois que nous avons reçu le modèle d'ATD du fournisseur.

Un lieu central de stockage et d'accès aux fichiers

Lorsque plusieurs équipes participent à un processus de documentation, elles enregistrent souvent une copie de cette dernière au fur et à mesure qu'elles la remplissent. Cela peut se faire sur leur bureau, sur des disques partagés ou dans des outils de gestion de projet comme Confluence. Ces personnes peuvent également demander une copie de la version finale de leurs fichiers,

mais nous connaissons tous le chaos et la confusion engendrés par la multiplicité des versions de documents ! Les services informatiques, juridiques et sécurité de l'information disposent désormais de plusieurs exemplaires signés et non signés des ATD pour chaque fournisseur. Dans HighBond, nous enregistrons le fichier final à la fin du flux de travail. Tout le monde peut facilement accéder à la version finale définitive signée. Il s'agit d'un emplacement unique pour tous nos ATD.

Une visibilité claire grâce aux storyboards

HighBond dispose également de tableaux de bord en libre-service pour les différentes équipes, la direction et les opérations. Nous intégrons les informations de tous nos processus et nous utilisons ces tableaux de bord pour donner à nos équipes une visibilité sur l'avancement de l'ATD. Nous pouvons aider à repérer facilement les accros afin d'atténuer ces problèmes.

Piste d'audit de qui a fait quoi

Toutes les données et métadonnées sont stockées dans HighBond. Ainsi, à tout moment (et pour tout enregistrement), nous pouvons regarder en arrière et voir qui a ajouté quoi et quand. Cela nous aide à établir une position défendable et à faire preuve de diligence raisonnable.

Prêt à commencer ?

La gestion de vos addendas informatiques n'a pas à être une corvée. Une fois la bonne solution technologique de conformité en place, vous pourrez aisément remplir vos obligations réglementaires et éviter de lourdes amendes.