Marcus Belke
CEO de 2B Advice GmbH, moteur de l'innovation dans le domaine de la vie privée conformité et de la gestion des risques, et a dirigé le développement d'Ailance, la nouvelle génération de conformité plateforme.
Dans la pratique de la protection des données au sein des entreprises, on continue à utiliser principalement un moyen de communication qui n'a pas été conçu à l'origine pour des processus de gouvernance structurés : le courrier électronique. Ce qui a commencé comme un outil d'échange flexible et à bas seuil s'est transformé dans de nombreuses organisations en un support central des processus liés à la protection des données - avec des conséquences juridiques et organisationnelles considérables. Notamment dans le contexte de l'obligation de rendre compte conformément à l'article 5, paragraphe 2 RGPD ainsi que des obligations générales d'organisation conformément à l'art. 24 RGPD il apparaît clairement que le courrier électronique, en tant qu'instrument de contrôle primaire, présente des déficits structurels.
Le courrier électronique, un problème de gouvernance
Dans la pratique, le courrier électronique est souvent utilisé comme instrument de contrôle central pour les opérations liées à la protection des données. Son efficacité apparente repose sur une simple Disponibilité et la flexibilité. Or, ce sont précisément ces caractéristiques qui favorisent l'émergence de processus informels qui échappent à un contrôle systématique. Les questions relatives à la protection des données sont souvent adressées par courrier électronique en fonction de la situation, sans qu'il y ait une saisie structurée ou une gestion claire du processus.
Une telle approche est en tension avec les exigences de la RGPD. En effet, l'obligation de rendre des comptes n'exige pas seulement une action conforme aux règles, mais aussi une évaluation fiable de cette action. Documentation. Les processus de communication qui se répartissent sur des boîtes aux lettres individuelles et qui ne suivent pas une structure uniforme ne peuvent toutefois être transférés que de manière limitée dans des structures de gouvernance vérifiables. Il est donc difficile de mettre en place des normes fiables et des processus cohérents.
A cela s'ajoute le fait que la communication par e-mail est fortement liée aux personnes. Les connaissances, les compétences et les niveaux de décision sont souvent liés à des boîtes aux lettres individuelles. En cas d'absence ou de changement de compétence, des ruptures apparaissent, qui ne peuvent être compensées qu'au prix d'efforts considérables. Cela entraîne une perte d'efficacité et augmente le risque de décisions erronées ou incohérentes.
Manque de transparence dans les e-mails
Le traitement des dossiers relatifs à la protection des données par courrier électronique rend difficile la vue d'ensemble du processus. Les demandes, les notifications et les rapprochements se répartissent généralement sur plusieurs fils de communication, qui se déroulent en parallèle ou sont fragmentés par des transferts. Il est donc souvent difficile de reconstituer l'état actuel de traitement d'un dossier.
Cela a des conséquences importantes pour la gestion opérationnelle. Par exemple, il n'est pas facile de savoir quels sont les dossiers ouverts et de déterminer de manière fiable à quel stade ils se trouvent. De même, les responsabilités restent souvent implicites. Il en résulte un travail de coordination accru, qui mobilise des ressources et ralentit le traitement.
Ce déficit est particulièrement important en ce qui concerne les délais légaux. Le traitement dans les délais des droits des personnes concernées selon l'art. 12, al. 3 RGPD ainsi que le respect des délais de notification en cas de violation de la protection des données conformément à l'art. 33 RGPD supposent que les informations soient disponibles intégralement et en temps voulu. En revanche, une communication par e-mail fragmentée augmente le risque de retards et d'erreurs d'appréciation.
L'historique des e-mails, un piège pour les audits
Alors que les Transparence l'état actuel d'un processus, la question de la traçabilité rétrospective se pose en complément. Ici aussi, la faiblesse structurelle du courrier électronique apparaît. En règle générale, les processus de communication ne sont pas conçus pour représenter systématiquement les processus de décision. Les informations pertinentes se perdent dans les longs fils de discussion, les étapes intermédiaires ne sont pas claires et les votes parallèles conduisent à des états de documentation contradictoires.
Cela devient particulièrement problématique dans les situations de contrôle et d'audit. En effet, les autorités de surveillance attendent une présentation claire de la manière dont les décisions ont été prises et des mesures qui ont été prises. Les historiques d'e-mails n'offrent généralement pas de base solide à cet égard. Ils sont difficilement exploitables, souvent incomplets et ne présentent qu'une sécurité limitée en matière de révision.
Il en résulte une limitation de fait de la capacité à rendre des comptes. Sans structure Documentation les exigences en matière de protection des données ne peuvent être prouvées que de manière limitée. Cela ne concerne pas seulement des cas isolés, mais le fonctionnement de l'ensemble du système de gestion de la protection des données. Cela augmente le risque de contestations réglementaires.
Conseil de lecture : La bonne préparation des audits dans la protection des données
Dissocier les processus de la communication par e-mail
Dans ce contexte, une approche basée sur les systèmes gagne en importance. L'objectif est d'extraire les processus liés à la protection des données de la communication par e-mail et de les transférer dans des systèmes spécialisés. De tels systèmes permettent une saisie structurée des processus, une attribution claire des responsabilités et une traçabilité sans faille. Documentation de toutes les étapes pertinentes.
Une approche basée sur le système crée les conditions pour des flux de travail standardisés. Les demandes ou les messages entrants sont saisis de manière centralisée, catégorisés et traités selon des processus définis. Les informations sur le statut peuvent être consultées à tout moment. Les délais peuvent être surveillés de manière automatisée. Les décisions sont documentées de manière cohérente et peuvent être suivies de manière sûre.
En outre, un tel système facilite l'intégration dans les structures existantes de conformité et de gestion des risques. Le site Protection des données n'est plus gérée de manière isolée par des canaux de communication individuels, mais est considérée comme une partie intégrante de la gouvernance à l'échelle de l'entreprise.
Modèle de collaboration pour une collaboration basée sur les rôles
Outre la dimension technique, un modèle de collaboration adapté est également nécessaire. La protection des données étant une fonction transversale, différents services spécialisés tels que l'informatique, le droit, les RH ou les unités opérationnelles sont impliqués. Dans ce contexte, une concertation basée principalement sur le courrier électronique entraîne souvent des responsabilités peu claires et des structures de communication inefficaces.
Un modèle de collaboration basé sur un système permet en revanche une collaboration basée sur les rôles. Les acteurs impliqués travaillent dans un contexte commun et accèdent de manière ciblée aux informations pertinentes. La communication s'effectue directement dans le processus concerné et reste donc durablement attribuable.
De cette manière, les processus de coordination peuvent être accélérés et les pertes d'informations réduites. Parallèlement, un tel modèle favorise l'établissement de responsabilités claires et de procédures standardisées. Cela permet non seulement d'organiser la protection des données de manière plus efficace, mais aussi de la rendre structurellement plus résistante.
Une solution intelligente : Ailance comme modèle de processus central
Dans la pratique, les déficits structurels décrits d'une organisation de protection des données basée sur le courrier électronique ne peuvent être résolus durablement que par une approche systématique. Ailance montre comment cela peut se présenter concrètement.
Ailance transforme les processus liés à la protection des données en un modèle de processus centralisé et basé sur un système. Les demandes, les incidents et les processus de contrôle ne sont plus gérés par des canaux de communication dispersés, mais sont traités selon des flux de travail clairement définis. Les responsabilités sont clairement attribuées, les états de traitement sont transparents à tout moment et toutes les mesures sont documentées de manière à ce qu'elles puissent être révisées.
Ailance fait évoluer la protection des données de votre entreprise d'un processus d'e-mail réactif à un élément contrôlable de la gouvernance d'entreprise. Nous vous montrerons volontiers comment cela fonctionne exactement lors d'une démo.
Nous illustrons notamment comment Transparence sur tous les processus en cours, comment les processus de décision restent compréhensibles et comment les délais peuvent être respectés de manière fiable. En même temps, on voit comment la collaboration entre la protection des données, les services spécialisés et les autres parties prenantes peut être structurée et efficace.
Organisez dès maintenant votre démonstration personnelle d'Ailance.
Marcus Belke est CEO de 2B Advice et juriste et expert en informatique pour la protection des données et le numérique. Conformité. Il écrit régulièrement sur la gouvernance de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French