Depuis mai 2018, le RGPD régit la protection des données personnelles au sein de l’Union Européenne. Mais pour beaucoup, lancer une démarche RGPD pour se mettre en conformité n’est pas chose aisée!
La CNIL a listé les 6 étapes conseillées pour s’y préparer. Je me permets d’y ajouter quelques conseils!
Etape #1 : Trouvez un coupable… euh… un responsable
Quand j’ai lu que la CNIL conseillait de « désigner un pilote », j’ai d’abord cru qu’il s’agissait de trouver un bouc émissaire! En réalité, l’idée est bien sûr beaucoup plus sérieuse.
Une démarche RGPD demande effectivement d’organiser une gouvernance des données (ou data governance). La première étape c’est donc d’identifier quelqu’un qui aura la charge d’organiser la démarche RGPD.
De deux choses l’une, soit vous êtes dans une urgence, et votre démarche RGPD nécessite des résultats rapides. Dans ce cas, il vous faut nommer un chef de projet ou un directeur de programme si votre périmètre le requiert.
Soit vous êtes dans une démarche RGPD de long terme et vous devez nommer un « délégué à la protection des données » (ce qu’on appelle parfois un DPO pour Data Protection Officer. Ce dernier aura alors la charge d’organiser, voire d’orchestrer les différents chantiers de mise en conformité.
Etape #2 de votre démarche RGPD : recensez et cartographiez
C’est un chantier prioritaire. Il vous faut avant toute chose faire un état des lieux des données personnelles qui sont collectées et utilisées dans votre société.
Il y a deux approches pour cela. Soit vous prenez un axe « data », soit un axe « processus ».
Dans l’approche « Data », il vous faudra avant tout recenser quelles données se trouvent dans quels outils. On s’intéresse ensuite aux traitements, exports, manipulations qui sont faites sur les données personnelles par les personnes ou par les applications. Cela repose souvent sur des outils de Data governance. Certains de ces outils permettent notamment de documenter les opérations à partir des programmes informatiques… Un gain de temps très intéressant!
Dans une approche « Processus », on va s’intéresser au flux d’information et le documenter. Certes, il y a des étapes qui reposent sur des applications, mais le fil conducteur c’est le processus de bout-en-bout. Dans ce cas, ce sont plutôt des solutions de type BPM qui pourraient vous aider. Ces solutions permettent de modéliser et documenter les processus.
Quelle que soit l’approche retenue, le but de ce recensement c’est d’y voir clair! Notamment en arrivant à ce qu’on appelle un « registre des traitements ». Savoir d’où l’on part c’est toujours utile, non?
Etape #3 : Souvenez-vous que Rome ne s’est pas faite en un jour
Comme je le dis souvent… Il vaut mieux avoir des petites victoires qu’une grosse défaite! (j’avoue que quand on commence à se citer soi-même, c’est que ça devient grave… promis j’arrête!)
En tout cas, à partir de l’état des lieux, vous allez pouvoir prioriser les actions à mener. Notamment en identifiant les domaines où il y a le plus de risques par rapport à la protection des données.
Comment les reconnaître? Voici quelques indices :
- si les traitements sont mal maîtrisés (les équipes ne savent pas expliquer ce qui se passe ou ce que l’on fait de la data)
- lorsque les données sont accessibles de l’extérieur (refaire un point avec les équipes de sécurité sera sans doute utile…)
- les applications où des informations qui permettent d’identifier directement une personne (nom, prénom, adresse, email, identifiant…)
- si vous avez déjà eu des problèmes par le passé, ou des demandes de particuliers… il faut peut-être démarrer par là
En tout cas souvenez-vous aussi que les risques de pénalité sont importants! En effet, le GDPR prévoit des amendes pouvant aller jusqu’à 2% du Chiffre d’Affaires! Il vaut donc mieux, au-delà de la priorisation, définir un vrai plan d’action.
Ce plan d’action devra contenir pour chaque risque, une analyse d’impact relative à la protection des données (AIPD).
Etape #4 : Mettez en place des processus internes
Avez-vous déjà formalisé tous vos traitements? Il y a de fortes chances, que la réponse soit non.
Il vous faut donc organiser les choses.
D’abord, en communiquant en interne sur l’importance de la protection des données et les contraintes du RGPD. Vous ne pourrez pas mener votre démarche RGPD seul. Et vous ne pourrez pas mobiliser si vous n’impliquez pas les autres membres de l’organisation. Personnellement, j’ai tendance à penser que la rédaction d’une charte sur le sujet est une bonne chose.
Ensuite, en mettant en place des procédures. Ces instructions formelles permettent de sécuriser l’utilisation des données personnelles. Si vous avez déjà un haut niveau de formalisme chez vous, il vaut mieux mettre à jour les procédures existantes. Sinon c’est l’occasion de mettre les choses à plat!
Surtout c’est l’occasion de mettre en place un vrai pilotage des risques sur le sujet. Qui dit risques, dit AMDEC (dont je suis fan). Ainsi l’organisation des processus de manipulation des données, vous permet aussi d’identifier ce qui pourrait aller de travers. Et le cas échéant, de mettre en place des actions préventives ou de définir les procédures à suivre en cas de problème. Ça évite d’être pris de court au pire moment.
Enfin, c’est l’occasion de formaliser le cycle de vie de la donnée. C’est un élément très important et qu’on utilise dans les projets de type Data. Ainsi, on ne peut pas construire un tableau de bord si on ne prend pas ce cycle de vie en compte. Ici, il s’agira de savoir comment on collecte, modifie, archive, supprime une donnée personnelle.
Etape #5 de la démarche RGPD: Documenter
Pour moi c’est le corollaire de l’organisation. Il faut documenter.
Si les choses sont organisées mais uniquement dans les systèmes ou dans la tête du Data Protection Officer, c’est insuffisant. Votre système RGPD doit « tenir » par lui-même et puisse être expliqué… surtout en cas de contrôle!
D’abord, il faut donc pouvoir montrer le résultat, c’est-à-dire expliquer les traitements de données et les processus de gestion des éventuelles demandes de particuliers. Ensuite, il est souhaitable de pouvoir montrer les actions qui ont été menées dans le cadre de la démarche RGPD.
Mais attention… on ne finit jamais totalement une démarche RGPD… Les systèmes, les processus, les offres vivent. Et il vous faudra régulièrement mettre tout cela à jour. D’où la nécessité d’avoir un responsable dans la durée.
Démarche RGPD… Et si on allait plus loin?
L cadre GDPR est extrêmement contraignant. On peut être tenté d’en « faire le minimum » pour se mettre en conformité. A mon sens, ce serait une erreur.
En effet, tant qu’à documenter, formaliser et organiser les choses, autant aller plus loin. Ainsi, au-delà des contraintes réglementaires, la démarche RGPD peut être l’occasion d’avoir une vraie démarche de data governance et de data quality. Ainsi, vos données seront plus fiables et vous pourrez prendre de meilleures décisions.
De même, vous pouvez intégrer le sujet du RGPD dans une démarche d’amélioration de vos processus. En effet, quitte à observer, vous pouvez utiliser des solutions de process mining pour identifier des moyens d’optimiser la performance opérationnelle. Voire mettre en place du RPA pour automatiser des tâches qui peuvent l’être et éviter les risques d’erreur (sur les données personnelles justement).
Ainsi, comme on le voit, une démarche RGPD c’est à la fois compliqué si on le vit comme une contrainte. Mais ça peut aussi être une façon d’améliorer la performance et l’efficience de son entreprise.
Les sujets qui m’intéressent le plus sont Data, Organisation et Temps Réel !
N’hésitez pas à me faire un retour sur cet article ou à me contacter sur LinkedIn pour partager nos actualités! Andrea