Naviguer dans la conformité GDPR dans un paysage complexe
Les entreprises avaient l'habitude de se conformer plus facilement aux réglementations, mais la conformité n'a jamais été une entreprise simple. Dans le passé, les entreprises devaient respecter un seul ensemble de règles, à savoir les règles locales en vigueur dans le pays où elles exerçaient leurs activités. Si l'entreprise s'étendait à d'autres régions du monde, elle devait se conformer à de nouvelles règles, mais celles-ci ne s'appliquaient qu'à ces nouveaux territoires
L'économie mondiale met fin à cette approche. Les entreprises qui souhaitent se développer ne peuvent plus rester cloisonnées dans leur État, leur région ou leur pays, et doivent se conformer à des réglementations qui dépassent leurs frontières. Qu'il s'agisse d'une entreprise de l'Indiana qui recrute des travailleurs à distance en Écosse ou d'une entreprise de Dundee qui fait appel à un centre de contact en Inde.
C'est particulièrement vrai pour les lois sur la confidentialité des données, car il est facile de déplacer des données entre différentes régions réglementaires, parfois sans s'en rendre compte. Avec le "cloud", les entreprises peuvent avoir des serveurs n'importe où, mais si elles n'y prennent pas garde, les données peuvent finir par être stockées ou transmises dans des parties du monde soumises à des réglementations différentes, et les efforts de mise en conformité peuvent avoir été gaspillés.
De plus, chaque organisme de réglementation national a ses propres idées sur la protection des citoyens et sur ce que cela implique pour les entreprises qui collectent et traitent des données. Faciliter la vie des entreprises passe avant la protection de la vie privée, mais cela signifie que les entreprises doivent s'assurer qu'elles respectent les règles, quel que soit l'endroit où elles stockent, collectent ou traitent des données.
Cette combinaison de services en nuage et d'une mosaïque de réglementations changeantes signifie qu'il semble impossible de travailler avec des données et de répondre à toutes les exigences en matière de protection de la vie privée. Mais il existe un moyen de faciliter à nouveau la conformité, à défaut de la rendre facile.
Trancher le nœud gordien de la réglementation GDPR
Les entreprises n'ont pas besoin de faire bouillir l'océan lorsqu'il s'agit d'adopter le GDPR et de s'y conformer. Ne réfléchissez pas trop et ne surchargez pas les projets s'il est possible de simplifier et de passer moins de temps sur quelque chose qui couvre toutes les exigences.
En ce qui concerne la protection de la vie privée, c'est exactement le contraire. Cette année, faites de la confidentialité des données une valeur fondamentale pour toutes les entreprises, et ce pour une raison essentielle : les consommateurs et les entreprises sont de plus en plus conscients de la manière dont leurs données peuvent être utilisées et détournées, ce qui influence de plus en plus leur décision de les partager ou non. Il est facile d'ignorer ces préoccupations, mais les consommateurs sont plus conscients de ces questions qu'on ne pourrait le supposer.
Ainsi, à défaut de faire bouillir l'océan, les entreprises pourraient au moins augmenter la température suffisamment pour qu'il soit confortable d'aller se baigner partout.
GDPR : la norme la plus élevée en matière de confidentialité des données
Le GDPR est devenu la norme la plus élevée au monde en matière de législation sur la confidentialité des données, et la majeure partie a été codifiée dans la norme internationale ISO 27701. L'UE prend la conformité au GDPR tellement au sérieux qu'en 2020, l'arrêt Schrems II a invalidé le Privacy Shield, l'accord international qui permettait aux entreprises d'exporter des données vers les États-Unis - en vertu du GDPR, les transferts en dehors de l'UE sont interdits à moins que des garanties adéquates ne soient fournies.
En adoptant les normes du GDPR, quel que soit l'endroit où une entreprise détient ou traite des données - c'est-à-dire le GDPR partout - les entreprises stratégiques savent qu'elles respectent une norme très élevée et peuvent se vanter de maintenir ces normes là où leurs rivaux ne le peuvent pas. Et comme le GDPR sert de modèle aux autres pays qui adoptent des lois sur la confidentialité des données, il devient plus facile d'examiner en quoi ces nouvelles lois diffèrent et de les modifier en conséquence. Dans la plupart des cas, les changements sont minimes, voire inexistants.
Conformité au GDPR : une approche universelle
À quoi ressemble cette stratégie de conformité au GDPR ? Considérez le GDPR comme une norme mondiale et appliquez-la en interne, pour chaque groupe d'entreprises, chaque pays et chaque processus applicable. Respecter cette norme plus élevée signifie respecter facilement toutes les nouvelles normes qui apparaissent - et cela signifie également plus d'efficacité et moins d'erreurs, grâce à une approche et à un processus universels.
Le GDPR peut ne pas s'adapter à toutes les situations et les entreprises peuvent être amenées à utiliser un fournisseur qui n'est pas conforme. Un exemple : un fournisseur aux États-Unis traite uniquement des données personnelles américaines. Techniquement, il n'est pas nécessaire d'appliquer les normes du GDPR dans ce cas, mais le fait de ne pas le faire signifie que l'on se prive de la possibilité de gagner la confiance des consommateurs et des clients. Faire des exceptions signifie créer un nouveau processus à apprendre et peut donner l'impression que la protection de la vie privée n'est pas une priorité. Mais s'il est absolument nécessaire de faire appel à un fournisseur non conforme au GDPR, documentez tout. Créez une évaluation des mesures supplémentaires, effectuez un examen complet de la protection de la vie privée et de la sécurité du fournisseur, mettez en place des plans pour remplacer le fournisseur par un fournisseur conforme, et obtenez une approbation écrite de l'exception pour risque de la direction. Considérez ce dernier élément comme une importante trace documentaire qui prouve que l'entreprise reconnaît et accepte le risque, car l'utilisation du fournisseur est plus critique qu'une violation.
Une fois qu'une entreprise a adopté une approche "GDPR everywhere", elle ne doit pas s'arrêter là. Il est important d'examiner les tendances. Existe-t-il de nouvelles exigences réglementaires dans les pays où l'entreprise ne fait pas encore affaire ? Optez pour l'opt-in ! En restant non seulement au fait des réglementations, mais en les devançant, les entreprises peuvent faire de la conformité en matière de protection de la vie privée non seulement un moyen de respecter les règles, mais aussi un facteur de différenciation dont elles peuvent se vanter.
GDPR partout : L'engagement d'Upsun en matière de confidentialité des données
Upsun adopte cette approche "GDPR everywhere" pour s'assurer que nos pratiques en matière de confidentialité des données sont cohérentes et unifiées pour tous nos clients à travers le monde. Visitez notre page de fonctionnalités pour plus de détails sur la sécurité et la conformité du PaaS d' Upsun.
Article initialement publié par Joey Stanford sur SC Media.
Liens utiles :
Votre meilleur travail
est à l'horizon
