RGPD et systèmes d’Information

Apports du RGPD

Au-delà de la simple vision conformité, le RGPD permet d’établir une photographie de la maturité du Système d’Information (SI)et de procéder à une amélioration globale en termes de protection des données.

Cette démarche qui se diffuse jusqu’au contrôle des sous-traitants va permettre une approche du fonctionnement du SI dans sa relation avec les autres services de l’organisation, en termes de processus et de communication, et contribuer à la démarche d’amélioration continue de la qualité de l’entreprise.

Impact du RGPD sur la DSI

La Direction des Systèmes d’Information est et doit être impliquée dans la mise en conformité avec le RGPD.

  • Elle met en place des actions d’évolution du SI et d’optimisation de la connaissance sur les DCP et traitements associés
  • Elle élabore des outils : anonymisation et pseudonymisation, gestion du droit des personnes physiques et tenues de la base des consentements, prévention des brèches, archivage, conservation et purges, etc.
  • Elle organise l’évolution des processus, notamment lors de la conception en appliquant le principe du Privacy By Design
  • Le RSSI aménage la PSSI, met en place les outils adaptés à la protection des DCP et met en œuvre les actions associées à la sécurité

Acteurs de la conformité RGPD

Acteurs de la DSI

  • La Direction des systèmes d’information
  • La production et les opérations informatiques
  • Le SSI et la sécurité
  • Les projets / développements

Acteurs hors DSI

  • La Direction Générale
  • Le DPO et ses représentants dans les filiales
  • Les responsables métiers
  • Les services juridiques
  • Les services de contrôle interne

Rôles et responsabilités

Pour assurer la conformité, il faut définir les rôles de chacun des intervenants.

Les interactions entre les acteurs et les processus vont s’inscrire dans un workflow contributif dont le rôle est d’assurer un suivi des actions entre les parties prenantes pour contribuer à la traçabilité nécessaire à l’accountability.

Une matrice RACI détaillée des rôles et responsabilités pour chaque obligation du RGPD devrait être établie pour clarifier qui est Responsable, qui doit rendre des Comptes, qui doit être Consulté et qui doit être Informé pour chaque tâche liée à la conformité RGPD.

Exemple de RACI :