Conformité au RGPD
Par : Sue Diltz, CIO/Chef de la sécurité et de la confidentialité
Le règlement général sur la protection des données (RGPD) de l'Union européenne (UE), entré en vigueur le 25 mai 2018, renforce la sécurité des informations personnelles des citoyens et des résidents des pays de l'UE ainsi que de la Norvège, de l'Islande et du Lichtenstein. La norme unifiée couvrira également les citoyens et résidents britanniques aprèsle Brexit. Il est difficile d'imaginer une entreprise ou une industrie proposant des biens ou des services en Europe qui ne soient pas affectées par ces exigences détaillées en matière de protection des données personnelles.
Au nom de Graebel, je salue le nouveau règlement. Elles sont rigoureuses mais raisonnables et conformes à l'esprit de sécurité et de transparence dans lequel nous avons traité les informations personnelles dans le passé, non seulement en Europe mais dans le monde entier.
Les exigences
En général, le RGPD s'appuie sur les anciennes normes de confidentialité de l'UE – la directive de 1995 sur la protection des données. Il élargit et clarifie ces exigences dans des domaines tels que :
- Portée territoriale – Il s'appliquera à toutes les organisations ayant accès aux informations personnelles des résidents de ces pays, quel que soit le lieu où l'entreprise est basée
- Pénalités – La nouvelle structure des amendes est graduée et plafonnée. Les amendes maximales sont plus élevées que par le passé.
- Consentement – Les formulaires de consentement doivent être clairs et succincts avec un minimum de « juridique »
- Droits des individus:
- Notification d'infraction – Ils doivent être prévenus dans les 72 heures suivant la découverte d'une violation de leurs informations
- Droit d'accès – Ils peuvent demander des informations sur leurs données personnelles conservées par l’organisation
- « Droit à l'oubli » – Ils peuvent demander à l'organisation d'effacer leurs informations personnelles
- Portabilité des données – Ils peuvent récupérer leurs informations et les partager avec une autre entité
- Confidentialité par conception – La sécurité des informations personnelles doit être une composante de la conception initiale de tout système qui utilise ou conserve ces données.
- Délégués à la protection des données – Les organisations doivent nommer un délégué à la protection des données si leurs activités de traitement des informations personnelles dépassent un certain seuil.
Pour en savoir plus sur ces questions, vous pouvez aller directement à la source et consulter le matériel de l'UE, y compris un résumé des exigences.
RGPD et Mobilité
En tant que Relocation Management Company (RMC), on nous confie chaque jour des informations d'identification personnelle de base pour les cessionnaires et les cessionnaires. Et dans les cas d'immigration et d'autres fonctions, nous pouvons exiger et stocker des informations personnelles encore plus sensibles – liées par exemple à la citoyenneté, au sexe, à l'état matrimonial et même au lieu de naissance. La protection de ces informations est essentielle.
Et nos obligations GDPR s'étendent à chacune des entreprises partenaires et des fournisseurs de services avec lesquels nous partageons ces informations lorsqu'elles travaillent pour le compte de nos clients. C'est l'une des raisons pour lesquelles nous examinons soigneusement nos partenaires de services mondiaux – les entreprises qui gèrent des services de relocalisation spécifiques, de la gestion des biens ménagers à l'immigration et à l'aide fiscale. Nous devons non seulement nous assurer qu'ils prennent grand soin de nos clients, mais nous devons également vérifier qu'ils ont mis en place des systèmes appropriés pour protéger les informations personnelles confidentielles.
L'European Relocation Association (EuRA) a publié un examen approfondi de la dispositions clés du RGPD du point de vue de l'industrie de la mobilité.
Graebel est prêt
Suite à l'adoption du GDPR en avril 2016, Graebel a créé une équipe d'évaluation interfonctionnelle et a commencé le processus de mise à jour de nos politiques et procédures pour intégrer les nouvelles exigences. Depuis lors, nous avons pris les mesures suivantes, qui seront achevées d'ici le 25 mai :
- Retenu un tiers (TrustArc) pour effectuer une évaluation prioritaire des écarts afin d'identifier les mesures que nous devions prendre
- Réalisation d'un inventaire des données et de cartes des processus métier pour répondre à l'article 30 du RGPD
- Identifié toutes les applications externes qui collectent des données, puis créé des avis de confidentialité associés
- Documenté nos processus en tant que contrôleur de données et sous-traitant pour répondre à l'article 30.1 du RGPD
- Développement d'un code personnalisé pour nos notifications de cookies/processus de consentement
- Validation de notre politique de conservation des enregistrements pour l'aligner sur les articles 5/25 du RGPD
- Mise à jour de notre plan de réponse aux incidents pour garantir que des processus de notification sont en place pour les individus et les autorités conformément aux articles 32/33 du RGPD
- Développement d'un processus et d'un plan pour les évaluations d'impact sur la confidentialité des données afin de répondre à l'article 6.4 du RGPD
- Mise à jour de nos contrats clients et fournisseurs pour répondre à l'article 30 du RGPD
- Développer la formation des employés pour préparer les équipes à leurs responsabilités spécifiques liées aux exigences du RGPD
- Création de processus internes pour prendre en charge les éléments des droits individuels du RGPD liés aux articles 15/17/20
- Élaboration d'un plan de test annuel de notre programme de conformité GDPR, y compris la notification de violation
Encore une fois, nous félicitons les pays de l'UE pour la manière réfléchie dont ils ont rédigé ces nouvelles réglementations. Oui, préparer cela a été beaucoup de travail pour nous et pour les autres PMR. Mais nos processus s'en portent mieux puisque les exigences sont basées sur une approche très défendable de la protection de la vie privée des individus.
Voici le monde à venir !