Dans les deux précédents volets de cette série d’articles, nous avons examiné les deux premières priorités pour les DPO en France : gagner en visibilité et agir. Dans cette dernière partie, nous examinerons la troisième : automatiser. Nous avons abordé la découverte et la cartographie des données à caractère personnel, puis développé les processus adaptés pour vous aider à respecter les exigences les plus contraignantes du RGPD. Intéressons-nous maintenant à l'automatisation pour gagner en efficacité.
L'automatisation aide votre équipe de protection des données à libérer des ressources et un temps précieux qui peuvent être consacrés à d'autres domaines du programme de conformité (là où des écarts de conformité ont été mis en évidence, par exemple). L'automatisation peut également contribuer à la maturité globale de votre programme en supprimant la possibilité d'erreur humaine.
En donnant à votre organisation une meilleure visibilité sur ses traitements et en créant une piste d'audit précise et détaillée, l'automatisation permet de générer des rapports plus complets. En observant précisément chaque priorité, on constate que la première est centrée sur l’étape de préparation, la deuxième sur l’exécution des objectifs du programme et la troisième sur sa maturité.
Améliorer l'efficacité de la gestion des incidents grâce à l'automatisation
Lorsqu'un incident de sécurité se produit, il faut agir rapidement. Commencez par évaluer et par enquêter sur l’incident. En obtenant des informations holistiques sur ce qui s'est passé et sur les données impliquées, l'automatisation peut aider à extraire toutes les informations clés nécessaires à votre équipe de gestion des incidents.
Par le biais de la compréhension de la sensibilité des données impliquées et des obligations réglementaires en matière de notification, votre cartographie de données facilite l’automatisation du processus de notification. L'automatisation de l’évaluation des besoins de notification permet de réduire les incertitudes sur les délais, les destinataires concernés et la nécessité même de notification en cas de violation de données.
L'automatisation peut également aider à générer des pistes d’audit et à conserver les registres d'incidents au cas où les organismes de régulation se manifesteraient.
Comment OneTrust contribue à l'automatisation de la gestion des incidents
Gestion des incidents de confidentialité de OneTrust aide les organisations à gérer le cycle de vie des incidents et à respecter les différentes exigences de notification des violations de données dans le monde. Gestion des incidents de confidentialité permet aussi à l’équipe de réponse aux incidents de rationaliser les enquêtes et d’automatiser les tâches clés, notamment :
- les instructions pour gérer les incidents
- les workflows en fonction des lois, des pays ou de la gravité
- l'évaluation du besoin de notification
- les analyses des causes racines
- le suivi des indicateurs clés de performance (KPI)
Les équipes de protection des données peuvent également associer les incidents à leur cartographie des données et à leur inventaire de fournisseurs pour regrouper les informations critiques, notamment les obligations contractuelles, les données stockées et les risques potentiels.
Pour en savoir plus sur Gestion des incidents de confidentialité de OneTrust, cliquez ici.
Automatiser la gestion des incidents dans la pratique
Dans ce dernier acte de l’histoire de Loïs chez ACME Co., voyons comment l’automatisation est essentielle pour gérer l’incident.
Grâce à sa connaissance pointue des données d'ACME, Loïs a pu déterminer la nature et la sensibilité de la violation. Sur cette base, elle a pu prendre les mesures adaptées pour rester en conformité avec les obligations de notification en cas de violation des données selon le RGPD.
Cependant, l'exécution manuelle de ces tâches a pris du temps et Loïs a failli dépasser le délai maximal pour faire la notification. ACME disposait d’une cartographie des données exhaustive qui a permis de diminuer la charge de travail, mais l'automatisation aurait contribué à la maturité du processus et à réduire les délais d'enquête et de réponse.
Pour Loïs, l’étape suivante consistera à mettre en œuvre des processus de gestion des incidents automatisés qui permettront d’alerter son équipe de protection des données en cas de potentiel incident, de signaler les écarts de conformité et de sécurité et de suggérer des mesures correctives. L'automatisation permettra de rationaliser le processus de gestion des incidents, y compris en évaluant la nécessité d'informer les personnes et/ou les organismes de réglementation, et donnera plus de temps à l'équipe d'intervention en cas d’incident d'ACME pour évaluer, enquêter et notifier si cela est nécessaire.
Gagner du temps en automatisant les processus de demande d’exercice de droit
Le traitement des demandes d'exercice de droit est chronophage. Chaque étape de réponse aux demandes d'exercice de droit implique plusieurs processus qui, lorsqu'ils sont faits manuellement, deviennent presque impossibles à effectuer dans les délais imposés par le RGPD. Toutefois, une grande partie de ces processus peut être automatisée.
Depuis la prise en compte jusqu’à la fin du processus, automatiser le traitement des demandes d'exercice de droit peut réduire les temps de réponse de plusieurs semaines à quelques minutes. Les outils d'automatisation tels que les fonctionnalités de découverte et de cartographie automatisées des données évitent d’avoir à rechercher manuellement tous les types de données personnelles dans de multiples sources de données. Ceci est particulièrement utile dans le cas des données personnelles non structurées, des informations relatives aux individus pouvant se trouver dans des e-mails, des vidéos ou des fichiers audio. Les outils automatisés de découverte de données sont capables d’analyser en quelques secondes plusieurs formats sur un large éventail de sources de données on-premise et sur le cloud. Dans ce cas, l'automatisation élimine également une grande partie des erreurs humaines possibles, notamment l’oubli ou le mélange de données personnelles.
Une fois les données trouvées, les outils automatiques d'occultation sont capables de supprimer et d’occulter les informations personnelles des autres personnes. Et le processus de revue est accéléré.
L'envoi de la réponse finale au demandeur peut aussi être automatisé.
Comment OneTrust intervient dans l’automatisation des demandes d’exercice de droit
L'outil d'automatisation des demandes d'exercice de droits de OneTrust inclut des fonctionnalités qui permettent de mettre en œuvre un processus évolutif et automatisé.
Automatisation des demandes d'exercice de droits de OneTrust permet de respecter les lois sur la protection des données telles que le RGPD, la LGPD ou le CPRA sur une plateforme unique. Il aide à éliminer les tâches manuelles en automatisant entièrement la découverte de données, la vérification de l'identité, l'occultation et la réponse aux demandes. Automatisation des demandes d'exercice de droits de OneTrust vous apporte une tranquillité d'esprit en vous permettant de traiter tous les types de demandes des personnes concernées ou des employés, telles que les demandes d'accès, de suppression, etc.
Avec Automatisation des demandes d'exercice de droits de OneTrust, vous pouvez :
- rationaliser le processus de prise en compte
- simplifier la vérification de l’identité
- découvrir et traiter automatiquement les données des personnes concernées dans tous vos systèmes
- automatiser l’occultation des données
- faire un reporting et effectuer une étude comparative sur les demandes reçues
Pour en savoir plus sur Automatisation des demandes d'exercice de droits de OneTrust, cliquez ici.
Avantages concrets de l’automatisation des demandes d’exercice de droit
Le dernier volet du processus de demande d'exercice de droit de Clark consiste à se tourner vers l'automatisation. Clark a déjà surmonté les défis liés à la visibilité sur les données personnelles grâce à des exercices de découverte et de cartographie des données, ainsi qu’au traitement des demandes d'exercice de droit par le biais de processus de vérification de l'identité, de découverte et d'occultation. Mais lorsqu'ils sont effectués manuellement, ces processus représentent sans doute le plus grand défi pour l’équipe de protection des données de Clark.
Le traitement manuel d'une seule demande d'exercice de droit peut prendre beaucoup de temps et accaparer de nombreuses ressources, mais si le nombre de demandes est multiplié par 10, voire 100, la situation devient insurmontable. C'est le cas pour Clark à Daily Planet. Le nombre de demandes d'exercice de droit reçues par Daily Planet devenant ingérable, Clark réalise que le risque de ne pas respecter les exigences de délai de réponse est réel. Par conséquent, il doit envisager l'automatisation à chaque étape du processus de traitement.
Aujourd’hui, Clark et son équipe non seulement répondent plus rapidement que jamais aux demandes d'exercice de droit, mais ils sont aussi en mesure d’enregistrer toutes les demandes et d’obtenir des informations sur le type, le volume et la fréquence de ces demandes. En outre, l'automatisation a permis à l'équipe de Clark de gagner en précision dans ses réponses et de réduire les erreurs humaines.
