GDPR

Alessandro d'Oracle Vallega discute de la nécessité d'un changement culturel pour assurer la conformité au GDPR, et pourquoi ce changement doit venir du sommet

GDPR est maintenant en vigueur. (Les entreprises de tous les secteurs ont été soumises à des pressions pour se conformer à la loi en 2016.) Certaines ont réagi en changeant leurs processus informatiques, d'autres ont imposé le fardeau à leur équipe juridique, mais d'autres n'ont commencé à s'adapter sérieusement qu'au mois de mai. 25 date limite approche

La protection des données doit être traitée avec le bon niveau de gravité. Il pourrait être tentant de penser que vous pouvez vous tenir à l'écart des questions de réglementation tant que vous ne faites rien de fâcheux avec les données personnelles des gens, mais c'est une réflexion à court terme. GDPR peut seulement marquer le début d'une poussée réglementaire globale pour améliorer la protection des données, et la réglementation deviendra seulement plus exigeante.

Le vrai changement nécessite un changement de culture. La façon dont les entreprises régissent les données n'a pas encore rattrapé la façon dont les employés utilisent la technologie, c'est pourquoi nous continuons à voir le personnel adopter une approche désinvolte dans de nombreuses organisations. Ils enregistrent les informations de l'entreprise sur des appareils personnels, utilisent (et parfois perdent) les ordinateurs portables professionnels dans le train et se tournent vers des sites de partage de fichiers pour partager des informations sensibles. Toutes ces pratiques présentent un risque de sécurité et elles sont trop fréquentes.

Le coût de non-conformité avec GDPR peut être significatif. Les chefs d'entreprise seront conscients du risque potentiel de non-conformité (jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires global de l'entreprise) mais les conséquences sont moins évidentes. Les violations de données doivent être rendues publiques à l'autorité de surveillance dans un délai de 72 heures dès qu'une entreprise en prend connaissance, et les dommages à la réputation qui en découlent si l'entreprise n'a pas une bonne maîtrise de la sécurité, a ses propres En outre, une autorité de contrôle a le pouvoir d'imposer une limitation temporaire ou définitive, y compris une interdiction de traitement, et les personnes concernées ont le droit de présenter des demandes d'indemnisation.

Cela fait de GDPR une question de conseil, mais cela ne signifie pas que les entreprises peuvent simplement nommer quelqu'un pour prendre en charge la conformité et les laisser courir avec elle. Avec un impératif aussi important, les dollars cessent avec le PDG.

Les chefs d'entreprise doivent être des figures de proue pour la protection des données. Pour une organisation de gérer les données de manière plus responsable et de rester au top de ses données à long terme, il faut l'adhésion de tout le personnel. Chaque individu doit être responsable de ses actions et jouer son rôle dans la conformité, et cette compréhension doit être conduite de haut en bas.

Comment les chefs d'entreprise peuvent-ils aider à atteindre cet objectif? La première étape consiste à rendre la formation obligatoire. Cela pourrait inclure des formations en gestion de données, des ateliers sur la protection des données ou même des tests d'hameçonnage afin d'aider les employés à identifier les courriels suspects.

Les incitatifs contribuent également au changement. Pourquoi ne pas récompenser les chefs d'équipe qui ont veillé à ce que tout le personnel ait suivi la formation appropriée ou inclure une formation à la sécurité dans les objectifs de performance des employés? Il reviendra finalement aux équipes RH, IT ou juridiques de développer ces initiatives, mais l'impératif doit venir du leadership d'une entreprise.

Pour plus d'informations sur GDPR et ses implications pour les leaders de l'industrie, consultez notre page du hub GDPR .