Gouvernance, protection des données personnelles et sécurité de l’information

Afin de respecter les exigences réglementaires, d’éviter des pertes financières et d’assurer la continuité des activités, FTI Consulting propose une large gamme de services dans le domaine de la gouvernance de l’information, parmi lesquels : la conception et la mise en œuvre de programmes, de politiques et de procédures de gouvernance de l’information; la réalisation de cartographie et de remédiation des données; l’identification des données sensibles (dont les données à caractère personnel, les informations relatives aux clients et à la propriété intellectuelle) et la définition des protections adéquates; la sécurisation des données de l’entreprise en cas de départ des employés ou de cession ou de fusion ; la migration des données vers le cloud et la mise en œuvre des remédiations nécessaires.

Nos praticiens chevronnés évaluent votre situation et déploient les compétences, les technologies et les processus adéquats pour obtenir les résultats escomptés. Cette combinaison, adaptée à votre organisation et à ses fins spécifiques, permet d’atteindre les objectifs de conformité des données et de réduction des coûts, avec une valeur démontrable.

Dans la mesure où le recours aux données à caractère personnel ne cesse d’augmenter, les entreprises doivent continuer d’innover tout en faisant face à une réglementation contraignante, à des risques accrus de violation de données personnelles, à des clients plus exigeants quant à la protection de leurs données, et à des objectifs de rentabilité de la part de leurs actionnaires.

Partout dans le monde, les organisations sont aujourd’hui confrontées à un environnement des données personnelles caractérisé par d’importants risques réglementaires, réputationnels et opérationnels. Les entreprises doivent par ailleurs mener des diligences raisonnables incluant l’évaluation des données personnelles acquises, la base légale de leur(s) traitement(s), et les mesures de protection mises en œuvre pour conserver la valeur de l’opération et se prémunir contre les éventuels recours collectifs onéreux et contre les enquêtes administratives.

Notre équipe propose des solutions pratiques qui permettent non seulement de réduire les risques de non-conformité réglementaire, mais aussi d’identifier et d’accroître la valeur des données à caractère personnel.

Notre équipe, à la fois expérimentée et internationale, est compétente dans la conception, la mise en œuvre et le contrôle de solutions qui répondent aux exigences des différentes réglementations « privacy ».

Notre objectif est de vous fournir des solutions qui facilitent le traitement des données personnelles au sein de l’entreprise, tout en répondant aux attentes du régulateur.

Qu’elles soient stockées dans des serveurs, dans le cloud ou dans les équipements professionnels voire personnels des employés, les données d’une entreprise présentent, dans l’environnement hautement réglementé actuel, à la fois des opportunités et des challenges.

Au fur et à mesure que le volume des données personnelles augmente, l’entreprise doit faire face à de nouveaux défis parmi lesquels : l’exploitation des données de l’entreprise d’une manière sécurisée et défendable afin d’identifier rapidement les informations-clés, la conservation des données sensibles telles que les données relatives aux clients et à la propriété intellectuelle, la protection des données contre les risques internes et externes, la suppression des données obsolètes ou redondantes afin de réduire les coûts de stockage et les risques de non-conformité réglementaire.

Grâce à notre expertise en matière de remédiation des données, nous pouvons aider votre entreprise à relever ses défis, sans perturber le déroulement normal de ses activités.

Nos experts chevronnés fournissent des solutions robustes et pragmatiques en matière de gestion et de remédiation des données. Nous mettons en œuvre notre expertise afin de permettre à nos clients d’être en conformité réglementaire, tout en tirant profit de leurs données.

Nos clients nous font confiance pour mettre en place des solutions à la fois rentables, et adaptées à leurs organisations et à leurs données.

Nous intervenons par ailleurs sur des problématiques liées à l’évolution de la technologie et de la réglementation.

Afin de répondre aux exigences réglementaires de minimisation des données personnelles et de supprimer les données de manière défendable, les organisations doivent comprendre leurs obligations légales en matière de protection des données personnelles et de conservation.

Lorsqu’elles ont besoin d’aide pour déterminer ce qu’elles doivent conserver et ce qu’elles doivent supprimer, tout en restant conformes, les organisations de tous les secteurs et leurs avocats font confiance à FTI Consulting pour évaluer les données qui pourraient faire l’objet d’une obligation de conservation.

Forts de longues années d’expérience industrielle, juridique et technique, nos experts aident les entreprises dans la mise à jour de leurs processus de conservation légale, de rétention et eDiscovery en se basant sur le modèle de référence (EDRM).

Nous aidons à moderniser les processus internes eDiscovery afin de garantir que les obligations de rétention et les processus eDiscovery soient toujours efficaces, rentables et défendables.

De nombreuses organisations ont migré ou sont en cours de transition vers Microsoft 365.

La migration à partir de sources de données on-premise, comme les partages de fichiers ou les serveurs de messagerie et MS-SharePoint, ne tient pas compte de l’ensemble des considérations juridiques de conservation ou de protection des données personnelles.

Nos experts disposent d’une grande expérience dans la mise en œuvre de Microsoft 365, ce qui permet la gestion de l’information de bout en bout, et la prise en compte des exigences en matière de protection, de sécurisation et de rétention des données.

Nous fournissons des conseils et des services en matière de gouvernance des données et d’investigation pour les utilisateurs de Microsoft 365. Nous aidons les entreprises à répondre à un large éventail de besoins liés à l’utilisation de Microsoft 365. Nous permettons à nos clients de réduire les coûts des activités juridiques et réglementaires tout en s’assurant de leur caractère défendable. Nous leur apportons notamment une assistance dans le choix de la licence la plus adaptée à leurs besoins et budgets, dans la migration sécurisée des anciens systèmes (legacy), dans la configuration et la classification des données, dans la mise en place de dispositifs qui limitent la fuite de données, ainsi que dans la suppression des données redondantes, obsolètes ou non-pertinentes de manière à réduire les coûts et les risques de perte ou de violation.

La Cour de justice de l’Union européenne a invalidé l’utilisation du Privacy Shield comme mécanisme d’adéquation pour le transfert de données en dehors de l’EEE. Même si les clauses contractuelles types (CCT) ont été modifiées, les transferts doivent être évalués au cas par cas afin de s’assurer que les données à caractère personnel sont correctement protégées. La non-exécution des mesures supplémentaires requises peut engendrer pour l’entreprise de lourdes conséquences à la fois financières et d’image.

Nos experts en protection des données personnelles vous apportent leur aide pour faire face à ces changements. Des transferts de données vers les pays tiers peuvent avoir lieu lorsque l’entreprise bénéficie d’un soutien technique à distance, lorsqu’elle externalise des opérations de traitement de données ou lorsqu’elle mène une due-diligence qui nécessite le traitement de données provenant de plusieurs juridictions. Nous examinons l’efficacité des mesures de protection déjà en place, et nous identifions et documentons les éventuelles mesures supplémentaires nécessaires à protéger les données à caractère personnel tout au long de leur cycle de vie.

Conformément au Règlement Général sur la Protection des Données Personnelles (RGPD), les organisations sont tenues de répondre aux demandes d’Accès des Personnes Concernées (DSAR) dans les 30 jours qui suivent leur réception.

La réponse à ce type de demandes nécessitant la conduite de recherches poussées à travers différents supports, elle peut s’avérer problématique en raison des délais imposés par le RGPD, et couteuse puisque consommatrice de temps et de ressources.

Grace à des technologies de pointe en matière d’analyse de données, nous pouvons localiser les données personnelles concernées en respectant les délais impartis. Notre approche de réponse aux demandes d’Accès des Personnes Concernées (DSAR) est à la fois flexible et rentable. Elle peut porter sur la solution technologique, tout comme elle peut englober un service complet (managed service) incluant la collecte, l’hébergement et la revue de la donnée.

En vertu du RGPD, les entreprises disposent de 72 heures pour signaler une violation de données impliquant des données à caractère personnel. D’importantes sanctions sont prévues en cas de manquement à cette obligation. Selon la nature de la violation et ses implications, il peut par ailleurs être impératif d’informer les personnes concernées.

Nous sommes intervenus dans le cadre de nombreuses affaires de grande envergure pour accompagner des clients opérant dans diverses industries et géographies à gérer la crise. Nos experts en protection des données personnelles aident à évaluer la nature, la portée et l’ampleur de la violation afin de permettre à nos clients de déterminer si la violation doit être signalée aux autorités de contrôle, et le cas échéant aux personnes concernées. Nous mobilisons les technologies d’analyse et de Machine Learning pour identifier les données personnelles comprises et faciliter la notification aux personnes concernées.