Vous avez complété le tronc commun. Bienvenue dans le parcours bâti pour les personnes qui s'occupent des opérations : processus, fournisseurs, équipements, flux de données, projets transversaux, R&D et innovation.
Cinq leçons vous attendent : la cartographie des flux et l'inventaire des outils, l'encadrement des sous-traitants et fournisseurs, la réalisation et la coordination des évaluations des facteurs relatifs à la vie privée (ÉFVP), la recherche, les études et les statistiques, et l'anonymisation et la dépersonnalisation aux fins de R&D.
On commence par le travail de fond : savoir ce qui se passe. Parce qu'avant de protéger, d'évaluer ou d'encadrer, il faut connaître. Et cette connaissance, dans une PME, n'existe presque jamais en l'état. Elle se construit.
Pourquoi cartographier les flux
L'article 3.2 impose à toute entreprise de mettre en place et de publier des politiques et pratiques encadrant la gouvernance des renseignements personnels. Ces politiques ne tiennent pas en l'air. Elles s'appuient sur une connaissance précise de ce qui circule.
L'article 10 ajoute l'obligation de mesures de sécurité raisonnables compte tenu de la sensibilité, de la finalité et de la quantité. Sans inventaire, on ne sait ni quelle quantité, ni quelle sensibilité, ni quelle finalité.