Lors de l’entrée en vigueur du RGPD en 2018, vous avez déjà expliqué aux équipes les concepts de cette législation, et les procédures mises en place au sein de votre organisation. Mais le temps passe ! Cette conscientisation doit donc être régulière.
Sur quoi doit porter la conscientisation ?
Voyons ensemble tout particulièrement les points sur lesquels insister :
- Identifier une requête d’une personne concernée
Lorsqu’une personne concernée contacte votre organisation afin d’exercer ses droits, il est important que tous les membres de l’organisation soient conscients de la procédure à suivre. C’est en effet une source potentielle de plainte devant l’Autorité de protection des données si la demande n’est pas traitée correctement.
Or, la demande ne doit pas forcément mentionner le RGPD, ni être introduite via le canal dédié pour être valable. Il peut donc être difficile pour les équipes de première ligne de savoir qu’il s’agit d’une requête « RGPD » et que l’éventuel DPO doit être impliqué.
Des exemples et rappels fréquents peuvent donc être utiles, afin que toutes les demandes soient traitées en temps et en heure.
- Privacy by design
Veillez à souligner les gains d’efficacité et de temps qui ont déjà été constatés en pensant à la protection des données dès le début du projet, que ce soit du point de vue technique ou juridique.
L’éventuel DPO doit être impliqué dès le début d’un nouveau projet impliquant des données à caractère personnel. Rappelez donc fréquemment les exemples de cas dans lesquels son implication est souhaitable.
- Minimisation et effacement
Les mauvaises habitudes ayant la vie dure, il faut insister sur la nécessité de limiter à la source les données : ne pas garder des copies inutiles, mais surtout respecter les durées de conservation décidées au sein de votre organisation.
Il n’est certainement pas inutile de rappeler, lors d’une période de travail un peu moins chargée pour les équipes, quelles sont ces durées, qui est responsable de l’archivage ou de la destruction, et comment procéder.
- Méfiance face aux e-mails suspects
La conscientisation doit naturellement porter sur les risques de sécurité liés aux courriels suspects.
Identifier les tentatives de phishing et avoir les bons réflexes en cas de doute est essentiel.
- Identifier toute violation de données et bien réagir
Un clic malencontreux sur un courriel de phishing ou une tentative de ransomware ne sont malheureusement pas le seul risque de violation de données. Des incidents fréquents et apparemment bénins le sont aussi :
– l’envoi d’un courriel à de nombreux destinataires en CC (au lieu de CCI) ;
– une erreur de destinataire lors de l’envoi d’un courriel contenant des données à caractère personnel ;
– la suppression accidentelle de données dans la database interne ;
Il est important que le personnel sache qu’il s’agit de violations de données et connaisse les procédures internes. Ce n’est qu’une fois informé de l’incident que l’organisation pourra décider de notifier ou non l’incident. En effet, la jurisprudence de l’APD montre que le délai de notification (72 heures) n’attend pas que la direction ou le DPO soit au courant pour débuter …
Comment prouver que vous avez opéré cette conscientisation ?
L’exercice de la mission du DPO fait partie des priorités de l’APD pour l’année 2023. Or, la sensibilisation et la formation du personnel sont l’une des missions du DPO.
Il est donc crucial pour le DPO de pouvoir prouver que cette conscientisation a eu lieu, que ce soit au moyen de :
- Supports de formation,
- Preuve de la mise à niveau des nouveaux arrivants,
- Campagnes de sensibilisation périodiques sur l’intranet de l’organisation,
- Campagnes d’affichage dans les bureaux,
- Rappel oral lors d’une réunion, acté dans le PV de réunion,
- Tests de phishing,
- Fenêtres pop-up de rappel avant de consulter un certain type de document…
Notre conseil :
Le facteur humain est à l’origine de la plupart des violations de données. Le temps consacré à la formation et à la conscientisation des équipes doit donc être vu comme un investissement !
Notre équipe peut vous assister dans cette démarche ou dispenser dans vos locaux une formation basée sur vos nécessités et vos exemples concrets. N’hésitez pas à nous contacter !