Temps de lecture: ~ 3 min.
L'importance de la protection des données personnelles
La protection des données personnelles est une partie de la securité de l'information qui concerne le traitement des données personnelles incluant les aspects de consentement, droits des personnes concernées et autres obligations légales.
Éléments clefs d’une organisation conforme à la législation en matière de protection des données personnelles
Éléments clefs d’une organisation conforme à la législation en matière de protection des données personnelles
Politiques de rétention des données
Politiques de rétention des données
Toute donnée personnelle traitée par une organisation devrait être traitée dans un but spécifique.
Quand le consommateur fournit ses données personnelles à une organisation il s’agit d’un prêt de données aux fournisseurs de services dans un but particulier.
L’organisation ne doit donc pas conserver ces données personnelles indéfiniment.
Le droit à l'oubli
Le droit à l'oubli
Les consommateurs ont surtout les droits suivants concernant leurs données personnelles :
- Accès aux données
- Modification (rectification) des données
- Suppression des données (droit à l’oubli)
À tout moment les consommateurs doivent pouvoir contacter le fournisseur de services pour faire valoir un ou plusieurs de ses droits. Des législations comme le RGPD Européen donnent des droits supplémentaires aux personnes concernées. Les organisations doivent donc s’informer sur la législation applicable dans leur(s) pays afin de prendre les mesures nécessaires.
«Privacy by default»
«Privacy by default»
Les données personnelles doivent être traitées de la façon la plus sécurisée possible. C’est un engagement de l’organisation vis-à-vis des consommateurs.
La pratique ITIL4 de gestion de la sécurité de l’information peut être utilisée pour protéger les données personnelles. Cette pratique permet aux organisations de définir des mécanismes pour analyser les domaines ou les données personnelles sont le plus exposées à des risques de sécurité afin de réduire ces risques.
La pratique de conception des services
Si un des objectifs de l’organisation est garantir un certain niveau de protection des données personnelles – «privacy by default» – alors la pratique de conception des services peut aider à intégrer les activités correspondantes dans les opérations de l’organisation.
De même que le modèle d’amélioration continue la conception de services permet des modifications itératives qui aide l’organisation a augmenter en continu sa création de valeur.
Consentement implicite
Les organisations ont souvent besoin d’un consentement explicite des consommateurs pour stocker leurs données personnelles.
Par exemple un consommateur donne son accord explicite pour recevoir de l’information à propos de produits et services sur une base régulière.
Cependant dans certains cas le consentement pour la collecte et le stockage des données personnelles est implicite.
Se mettre en conformité
Afin de gérer les activités de traitement des données personnelles en conformité avec la législation, il est possible d'adopter une stratégie qui implique un «mapping» et une adaptation continue des solutions pour la protection des données.
Processus de mapping
Les organisations peuvent mapper les instances dans lesquelles les données personnelles sont collectées et traitées par les processus métiers.
Cette activité permet de définir quelles données personnelles sont nécessaires pour des activités métiers et quelles données sont inutiles et ne doivent pas être collectées.
Mapper les données aide les organisations à être conformes avec le principe suivant : toute donnée personnelle traitée par une organisation doit l’être dans un but particulier. La pratique ITIL4 de gestion de l’architecture est utile pour réaliser ce mapping des données.
Améliorations itératives
Les organisations qui souhaitent être (et rester) en conformité avec la législation en matière de protection des données personnelles doivent réaliser des changements réguliers en utilisant le modèle ITIL d‘amélioration continue.
Vous voulez vous tenir au courant des news de itSMF Switzerland? Inscrivez-vous à notre newsletter ou connectez-vous à notre page d'entreprise sur LinkedIn.