ITIL et la protection des données personnelles

11 Jan 2023 12:00 AM By Davide Micheli

Temps de lecture: ~ 3 min.

L'importance de la protection des données personnelles

La protection des données personnelles est une partie de la securité de l'information qui concerne le traitement des données personnelles incluant les aspects de consentement, droits des personnes concernées et autres obligations légales.


Les fournisseurs de services doivent concevoir leurs services en prenant en compet la protection des données personnelles.

Même si le fournisseur opère dans un pays sans législation stricte en la matière, il doit avoir une politique de protection des données personnelles dans le cadre de ses opérations.

Éléments clefs d’une organisation conforme à la législation en matière de protection des données personnelles

Nous verrons dans les paragraphes suivants plus de détails sur les éléments clefs d'une organisation qui agit en conformité avec la législation sur la protection des données personnelles.

Politiques de rétention des données

Toute donnée personnelle traitée par une organisation devrait être traitée dans un but spécifique.


Quand le consommateur fournit ses données personnelles à une organisation il s’agit d’un prêt de données aux fournisseurs de services dans un but particulier.


L’organisation ne doit donc pas conserver ces données personnelles indéfiniment.

Le droit à l'oubli

Les consommateurs ont surtout les droits suivants concernant leurs données personnelles :


  • Accès aux données
  • Modification (rectification) des données
  • Suppression des données (droit à l’oubli)


À tout moment les consommateurs doivent pouvoir contacter le fournisseur de services pour faire valoir un ou plusieurs de ses droits. Des législations comme le RGPD Européen donnent des droits supplémentaires aux personnes concernées. Les organisations doivent donc s’informer sur la législation applicable dans leur(s) pays afin de prendre les mesures nécessaires.


Quand les consommateurs contactent l’organisation pour faire valoir un de ses droits concernant les données personnelles alors l’organisation doit utiliser la gestion des demandes services pour répondre à la demande.

«Privacy by default»

Les données personnelles doivent être traitées de la façon la plus sécurisée possible. C’est un engagement de l’organisation vis-à-vis des consommateurs.


La pratique ITIL4 de gestion de la sécurité de l’information peut être utilisée pour protéger les données personnelles. Cette pratique permet aux organisations de définir des mécanismes pour analyser les domaines ou les données personnelles sont le plus exposées à des risques de sécurité afin de réduire ces risques.


Cette pratique inclut des analyses de vulnérabilités de l’infrastructure utilisée pour traiter les données personnelles. Ces analyses sont utiles aux organisations pour définir précisément leurs engagements vis-à-vis des consommateurs sur la protection des données personnelles.

La pratique de conception des services

Si un des objectifs de l’organisation est garantir un certain niveau de protection des données personnelles «privacy by default» alors la pratique de conception des services peut aider à intégrer les activités correspondantes dans les opérations de l’organisation.


De même que le modèle d’amélioration continue la conception de services permet des modifications itératives qui aide l’organisation a augmenter en continu sa création de valeur.

Consentement implicite

Les organisations ont souvent besoin d’un consentement explicite des consommateurs pour stocker leurs données personnelles.


Par exemple un consommateur donne son accord explicite pour recevoir de l’information à propos de produits et services sur une base régulière.


Cependant dans certains cas le consentement pour la collecte et le stockage des données personnelles est implicite.

Se mettre en conformité

Afin de gérer les activités de traitement des données personnelles en conformité avec la législation, il est possible d'adopter une stratégie qui implique un «mapping» et une adaptation continue des solutions pour la protection des données.

Processus de mapping

Les organisations peuvent mapper les instances dans lesquelles les données personnelles sont collectées et traitées par les processus métiers.


Cette activité permet de définir quelles données personnelles sont nécessaires pour des activités métiers et quelles données sont inutiles et ne doivent pas être collectées.


Mapper les données aide les organisations à être conformes avec le principe suivant : toute donnée personnelle traitée par une organisation doit l’être dans un but particulier. La pratique ITIL4 de gestion de l’architecture est utile pour réaliser ce mapping des données.

Améliorations itératives

Les organisations qui souhaitent être (et rester) en conformité avec la législation en matière de protection des données personnelles doivent réaliser des changements réguliers en utilisant le modèle ITIL d‘amélioration continue.


Auteur: David Billouz

Vous voulez vous tenir au courant des news de itSMF Switzerland? Inscrivez-vous à notre newsletter ou connectez-vous à notre page d'entreprise sur LinkedIn.

SUIVEZ-NOUS SUR NOTRE PAGE LINKEDIN

Need to know more about it?

Click on one of the options below to enter in the itSMF Enviroment and for being updated the way which is best for you.

Subscribe to itSMF Newsletter
CONTACT US TO SEND YOUR MESSAGE
DISCOVER OUR EVENT CALENDAR
Get the benefits of Membership Program