Blog GlobalSign

14 sept. 2018

Bilan post-RGPD : leçons de transformation numérique d’un délégué à la protection des données

La journée noire est derrière nous. Les dirigeants d’entreprise ont dû, j’en suis sûr, pousser un long soupir de soulagement. Toutefois, si vous faites partie d’une équipe chargée de la conformité, du marketing ou de la protection des données, vous savez que le travail ne fait que commencer.

Alors que nous luttions pour changer nos processus, j’avais parfois l’impression d’être en plein cauchemar. Mais maintenant que tout est terminé, je suis stupéfait du travail que nous avons accompli en équipe dans des délais aussi courts. Naturellement, je ne suis pas prêt de recommencer. J’ai cependant toujours soutenu le RGPD et, pour voir le bon côté, je considère avoir participé à une dynamique de changement positive et convaincante. Qui plus est, je suis fier du résultat obtenu.

J’imagine parfaitement le travail qu’ont dû réaliser d’autres organisations à différents niveaux pour se mettre en conformité. Beaucoup ont encore du chemin à faire, mais au moins le gros du travail est terminé.

Ce fut un véritable parcours du combattant. Aussi, prenons quelques instants pour réfléchir aux leçons à tirer de cette mise en conformité avec le RGPD. N’hésitez pas à utiliser la section Commentaires pour partager vos expériences et analyses sur le sujet. Comparons nos impressions !

Audit et planification

Si la lecture du Règlement général sur la protection des données a de quoi effrayer, c’est pourtant la meilleure façon de procéder pour en planifier la mise en œuvre. J’ai bel et bien essayé de lire toutes sortes de synthèses et présentations, mais en définitive on perd plus de temps à essayer de cerner les tenants et les aboutissants, et l’éclairage du texte repose exclusivement sur l’analyse de l’auteur du résumé.

Il ne vous reste plus qu’à prendre le taureau par les cornes : asseyez-vous confortablement pour entamer votre lecture du Règlement, de la première à la dernière page. Le RGPD est un document complexe. Il m’a donc fallu relire plusieurs fois certains passages obscurs.

RH / Affectation des ressources

Même si le règlement ne l’exige pas de façon stricte, il est important de désigner une personne déléguée à la protection des données (ou DPO, Data Protection Officer). Le DPO n’est pas seulement le principal interlocuteur dans le cadre du projet RGPD, c’est également le référent pour le reste de l’organisation sur toutes les questions concernant les données.

Normalement, le déploiement de la législation dans l’entreprise relève de la responsabilité du DPO. Sur un plan pratique, ce dernier devra cependant pouvoir s’appuyer sur une équipe pour mettre en place ces politiques. Chaque modification de processus exige une connaissance pointue des rouages au niveau de chaque département — ce qui n’est pas le cas du DPO. Pour constituer une « équipe RGPD de choc », vous avez tout intérêt à désigner une personne de chaque département afin de limiter le nombre de personnes qu’en tant que chef de projet vous devrez solliciter pour obtenir certaines informations.

Expérience client

Le client — ou « personne concernée » (data subject) dans le cadre du RGPD — est au cœur du Règlement. Après tout, le document est exclusivement conçu pour renforcer ses droits et libertés. Une partie de l’expérience utilisateur doit traduire le fait que le client est responsable de ses données. Ses données lui appartiennent ; nous ne faisons que les lui emprunter jusqu’à ce qu’il veuille les récupérer.

Bien entendu, certaines exigences légales locales l’emportent (comme les réglementations financières) et certaines réglementations sectorielles (comme le CA/Browser Forum) s’appliquent. Nous ne pourrons cependant nous soustraire à certaines activités de traitement des données indispensables à l’exécution de nos obligations contractuelles. Mais tout cela relève de la cuisine interne et n’intéresse absolument pas le consommateur. Ce dernier a simplement besoin de savoir qu’il peut gérer les messages qu’il souhaite recevoir et que les données qu’il nous transmet sont stockées en toute sécurité et traitées conformément à la loi et leurs souhaits.

Sécurité et respect de la vie privée

Le nouveau règlement repose sur un principe clé : le respect de la vie privée par défaut et dès la conception. En clair, préalablement à toute activité de traitement des données, à tout système utilisé, et à tout nouveau produit ou service — sur mesure ou standard — que vous souhaiteriez introduire, votre cahier des charges doit placer au premier plan la question des droits et des libertés de la personne concernée. La réflexion ne pourra être menée a posteriori. Pour notre part, nous avons réuni autour d’une table des interlocuteurs des différents métiers de l’entreprise pour analyser nos processus et nos outils afin de cartographier nos flux de données entrants et sortants. Nous avons également procédé à des évaluations des risques et de l’incidence de ces activités sur la protection des données. L’exercice a permis de mettre en évidence les modifications à apporter pour nous conformer aux exigences de sécurité et de respect de la vie privée.

Communication

Bien plus qu’une exigence fondamentale, l’éducation et la sensibilisation du personnel constituent également une bonne pratique de formation. Soyons honnêtes, à moins que ça ne soit votre métier, les subtilités de la loi et leur impact global pour l’organisation, et plus précisément pour votre rôle, ont de fortes chances de vous échapper.

C’est là qu’une formation ciblée et appropriée prend tout son sens. Voici comment j’ai abordé la chose. J’ai tout d’abord pris le temps de présenter les grands principes du traitement des données, l’impact des violations de données, etc. avant de clarifier les implications pour chaque département/rôle. Pour une meilleure compréhension et assimilation des connaissances, je me suis appuyé sur des exemples concrets du quotidien. Le sujet est vaste et, il faut le reconnaître, assez ardu d’où l’importance de privilégier des sessions fréquentes et courtes. D’ailleurs, je commence toujours chaque séance par un récapitulatif de la précédente. Et pour pimenter le tout, un examen est organisé chaque année et suscite toujours des questions inattendues.

Technologie

Une grande partie du Règlement porte sur les processus et procédures, et insiste sur l’importance de documenter correctement tout cela. C’est la clé d’une gestion du changement optimale. En effet, en cas de modification d’un processus ou d’un outil, la documentation s’adapte en conséquence. Certaines solutions technologiques peuvent vous aider sur certains points cruciaux, qu’il s’agisse de gestion des accès et des identités (pour assurer un contrôle des accès) ou de chiffrement (condition d’atténuation des risques explicitement prévue).

Gardez à l’esprit qu’il n’y a pas de solution miracle. La conformité au RGPD marque l’aboutissement des synergies entre ces composants pour une action holistique renforcée. Les articles 28 à 30 évoquent en parallèle la responsabilité du Responsable du traitement et celle du Sous-traitant, de sorte que, indépendamment de la manière dont vous vous êtes positionné auprès de vos fournisseurs, partenaires commerciaux et autres tiers, s’ils perdent vos données, votre responsabilité est également engagée.

Sachant cela, nous avons décidé d’effectuer certaines vérifications auprès de tous nos partenaires tiers pour nous assurer de leur conformité et/ou volonté de mise en conformité au RGPD, mais aussi pour contrôler les mesures de sécurité et autres pratiques métier en place. Si les réponses ne nous donnaient pas satisfaction, nous leur accordions un délai pour prendre les mesures correctives nécessaires ou leur signifiions la rupture de notre accord. Pourquoi mettre délibérément votre organisation en danger à cause d’une erreur commise par un tiers, alors que des mesures préventives peuvent être prises ?

Cycle constant

Le RGPD est entré en vigueur le 25 mai 2018 (après ratification près de deux ans auparavant). Il est erroné de croire qu’une fois tous les préparatifs terminés et la date fatidique passée, tout est fini. Ce n’est pas le cas. En fait, ce n’est que le début.

Les vraies difficultés commencent maintenant qu’il vous faut préserver la conformité, maintenir tout ce pour quoi vous avez travaillé dur ces deux dernières années et, bien entendu, satisfaire les responsables de la productivité de l’entreprise. Votre entreprise aura beau être la plus sécurisée au monde et appliquer le règlement à la lettre, à quoi bon, si elle ne peut exercer correctement ses activités ?

Vos processus sont, bien entendu, amenés à évoluer dans le temps et au gré des nouvelles technologies. Votre mission sera de suivre le rythme. Mais lorsque vous y parvenez, votre entreprise gagne sur toute la ligne : non seulement elle démontre sa maîtrise du sujet, mais elle montre aussi sa capacité à livrer ses produits et à mettre en œuvre ses services avec compétence. C’est sa réputation qu’elle met véritablement en jeu en pariant sur sa capacité à protéger l’essentiel, à savoir les données personnelles de chaque collaborateur, client et utilisateur.

Partager ce blog