Le BPM, l’outil de votre mise en conformité RGPD

Accueil / Le BPM, l’outil de votre mise en conformité RGPD
01/02/2019

SOMMAIRE

La mise en conformité RGPD est aujourd’hui applicable. Le RGPD (Règlement Général de Protection des Données), en vigueur depuis Mai 2018 dans l’union européenne vient compléter la loi française informatique & libertés. Son objectif est de protéger et d’encadrer la collecte, le stockage et le traitement de données personnelles.

Toute information qui permet d’identifier, directement ou indirectement, une personne physique est une donnée personnelle.
Exemples : le nom, le prénom, la date et lieux de naissance, le statut marital, le numéro de sécurité sociale, les coordonnées bancaires, les adresses postales et e-mail, le numéro de téléphone, plaque d’immatriculation, empreintes, etc.
Nous ne parlerons pas ici de la problématique des données sensibles, type données de santé.

Le RGPD, c’est donc :

  • une obligation de moyens pour les entreprises qui doivent protéger :

- les données récoltées sur toute personne physique (contacts, prospects, représentants des clients, candidats et salariés),
- les traitements informatisés ou non de ces données à caractère personnel contenues ou appelées à figurer dans un fichier (numérique ou papier),
- le consentement éclairé de la personne physique de plus de 15 ans à confier ses données.

  • le droit de toute personne physique de demander au responsable d’un traitement de rectifier, compléter, mettre à jour, verrouiller ou effacer les données à caractère personnel la concernant ; données qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite... art 17 du RGPD.

Des sanctions peuvent être appliquées, en cas de non-respect, et s’élever jusqu’à 4% du chiffre d’affaires mondial d’une entreprise ou 20 millions d’euros.

BPM pour la conformité RGPD des données personnelles
BPM pour la conformité RGPD des données personnelles

La mise en conformité RGPD concerne toutes les sociétés

Le RGPD s’applique donc à toutes les sociétés qui collectent et gèrent des données personnelles via :

  • les services marketing, commercial et leur SAV : données personnelles de prospects et clients via un logiciel CRM ou autre voire même sur papier,
  • le service RH : informations sur les candidats et les salariés
  • les sous-traitants, sociétés tierces mandatées pour externaliser un service et qui ont en leur possession et/ou qui ont accès à des données personnelles de personnes physiques dont l’entreprise a la responsabilité.

Le règlement européen impose des obligations spécifiques aux sous-traitants dont la responsabilité est susceptible d’être engagée en cas de manquement. Il convient donc pour ces derniers d’être précis dans l’établissement du contrat avec leur donneur d’ordre (responsable du traitement) et de respecter leur part d’obligation. Les sous-traitants sont :

  • Les ESN, entreprises du secteur numérique, prestataires de services informatiques (hébergement, maintenance, etc.), les intégrateurs de logiciels, les sociétés de sécurité informatique qui ont accès aux données et qui ont un devoir de conseil vis-vis de leurs clients,
  • Les agences de marketing ou de communication qui traitent des données personnelles pour le compte de clients,
  • Plus généralement, tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme.

Le BPM permet aux entreprises de se conformer au RGPD

Les informations collectées sur une personne physique peuvent être disséminées ou répliquées dans différents services, processus ou applications d’une entreprise ou chez des entreprises tierces.

La première étape consiste à répertorier l’ensemble des données à caractère personnel pour pouvoir les sécuriser et ainsi respecter la conformité du RGPD.

Mais le suivi manuel de ces données, numériques ou papier, comporte un risque d’oubli de données et des processus de sécurisation à effectuer.

Un logiciel BPM permet, sans changer les applications de son système métier :

  • de visualiser le fonctionnement de l’entreprise et en particulier, les données

- intégrées dans les systèmes existants comme le CRM, ERP, SIRH, etc.,
- traitées par des systèmes indépendants ou extérieurs,
- non répertoriées,

  • d’assurer la traçabilité des processus, des documents comme le consentement et des données à caractère personnel et des actions humaines (le qui fait quoi ?),
  • de créer, de gérer, d’optimiser et d’automatiser des processus métiers.

La mise en place d'une plateforme BPM nécessite de :

  • mettre à plat tous les processus internes ou externes à l’entreprise concernant les données personnelles,
  • construire ou suivre via les outils de la plateforme BPM, le fil d’Ariane des processus concernés par ces données personnelles, afin de pouvoir les sécuriser et les retrouver en cas de besoin.

Le BPM répond à l’obligation de moyens exigée par le RGPD

Les entreprises doivent protéger les données recueillies et les traitements de ces données qu’ils soient numériques ou sous forme papier.

Une plateforme BPM permet de retrouver l’ensemble des processus concernés par ces données et d’y apporter la sécurisation nécessaire et adaptée.

Le BPM assure la traçabilité des données et le consentement exigés par le RGPD

Dans le cadre du RGPD, vous devez conserver une trace du consentement du chaque personne physique, en particulier :

  • ses données à caractère personnel,
  • la date d’obtention des données,
  • l’objet exact de ce consentement, contrat commercial, contrat de travail ou marketing direct.

Dans le cas de mineur âgé de moins de 16 ans, le consentement doit être recueilli auprès du titulaire de l’autorité parentale.

Dans ce dernier cas, l’enregistrement de l’adresse IP, de la localisation et du moment auquel l’individu a donné son consentement sont insuffisantes. L’email de confirmation contenant ces informations est fortement recommandé.

En utilisant une plateforme BPM, la traçabilité de l’obtention, du consentement et de la conservation de ces données à caractère personnel est assurée et vous les retrouvez facilement.

Les cas d‘usage du BPM & de la conformité RGPD

Le RGPD prévoit donc,

  • la gestion des accès aux données dans un cadre strict et encadré,
  • la possibilité pour toute personne physique de demander à une entreprise de rectifier, compléter, mettre à jour, verrouiller ou effacer les données à caractère personnel la concernant.

BPM & conformité RGPD, le droit à la consultation & rectification des données

Toute personne physique peut donc :

  • consulter les données personnelles recueillies sur elle,
  • rectifier ses données si elles sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation sont interdites.

L’utilisation d’une plateforme BPM vous permet :

  • de retrouver facilement la trace de toutes les données concernant, un prospect, un client, un candidat, un salarié,
  • d’éviter de supprimer ou de modifier des données personnelles essentielles à l’exécution d’un contrat avec un client ou un salarié.

BPM & conformité RGPD, la portabilité des données

Le droit à la portabilité des données permet à une personne physique de demander la transmission de toutes les informations dans un format structuré, lisible par une machine à un nouveau prestataire (par exemple, en cas de changement de fournisseur d’accès à internet et de portable) (art. 20).

Dans ce cas, une plateforme BPM va permettre de retrouver tous les données les e-mails etc. concernant la personne et de les transmettre sous le format ad’hoc au nouveau fournisseur ou à la personne elle-même.

BPM pour assurer la portabilité RGPD des données personnelles

Le BPM et la conformité RGPD pour la portabilité des données

BPM & conformité RGPD, le droit à l’oubli

De la même façon toute personne physique peut aussi demander la suppression de toutes les informations la concernant dans le cadre du RGPD.

L’entreprise doit répondre à la demande dans les meilleurs délais. En cas d’oubli de données, le demandeur peut intenter une action en justice.

Là encore, un outil BPM va permettre de :

  • vérifier l’existence d’un contrat en cours qui nécessiterait la conservation des données,
  • supprimer toutes les données en cas de demande justifiée.

Ainsi, grâce à l’utilisation de la plateforme BPM mise en place pour suivre le RGPD, l’entreprise saura rapidement :

  • définir la nature de la relation entre l’entreprise et le demandeur,
  • identifier quelles applications internes ou externes peuvent détenir des informations à caractère personnel,
  • déterminer quelles informations ont pu être communiquées à des tiers. En effet, en cas de demande de droit à l’oubli, vous êtes responsable de la suppression de ces données.
  • réduire le risque d’erreurs humaines dans le processus, gagner du temps d’exécution,
  • vérifier et prouver dans le temps que les solutions mises en place fonctionnent.

Le droit à l'oubli RGPD par la suppression de toutes vos données dans une organisation

Le droit à l’oubli RGPD ou la suppression de toutes vos données stockées dans une organisation

BPM & conformité RGPD, la gestion des accès aux données

Une entreprise doit souvent donner des accès à son système d’information à ses collaborateurs, ses clients ou ses fournisseurs. La création de tels accès n’est pas toujours bien tracée. Et lorsque l’accès n’est plus nécessaire, les processus de décommissionnement des accès ne sont pas toujours prévus.

Le BPM peut permettre une meilleure gestion de cet aspect en apportant :

  • une gestion des accès de manière centralisée et en fonction des profils (salariés, fournisseurs, clients, applications, etc.),
  • un pilotage transverse de toutes les demandes d’accès et leur validation,
  • une vérification automatique des accès pour une personne à partir d’un catalogue des services,
  • l’ajout à une personne d’accès à des services supplémentaires mais aussi possibilité de supprimer l’accès à certains services,
  • la possibilité de suppression des ressources lors du départ d’un employé,
  • la gestion de la restitution de ressources physiques (clefs, cartes, téléphone, ordinateurs, etc.) mais aussi de la restitution des licences informatiques,
  • l’amélioration de la sécurité grâce à la revue des droits/ressources lors de la mutation/départ d’un employé),
  • une meilleure gestion des coûts IT avec révocation des licences lors du départ d’un utilisateur.

Avec le BPM, pensez plus loin que la conformité RGPD et rendez agile et intelligent votre SI

Le BPM est un atout indéniable pour votre mise en conformité avec le RGPD. Mais c’est aussi un outil qui peut vous aider à répondre aux nombreuses problématiques réglementaires ou autres auxquelles votre entreprise est soumise.

Le BPM est une méthodologie pour améliorer la performance opérationnelle des processus métiers incluant des interventions humaines et aussi une plateforme intégrant des outils simples d’utilisation qui :

  • s’interfacent avec l’ensemble des briques de votre SI, ERP, CRM, SIRH, GED, etc.,
  • permettent :

de relier et d’accéder aux données de ces briques en temps réel grâce à des formulaires et des rapports,
d’automatiser les processus sans valeur ajoutée,
de concevoir des applications low code, gérer et optimiser vos processus métiers,
d’appliquer des règles à des évènements complexes en introduisant l’analyse des données à disposition de l’entreprise (internes, réseaux sociaux, open data) par des algorithmes du machine learning, en particuliers prédictifs en utilisant l'iBPMs ou le BPM intelligent.

  • rendent ainsi agile et intelligent votre système d’information.

Afin de mieux comprendre les différents avantages d'une solution BPM :

Téléchargez le "Guide Pratique du BPM à L'iBPMs"
Rappel des lois sur la conformité RDPD

DPO Groupe HLi

A propos de l'auteur

Directeur Informatique et DPO du Groupe HLi