Comment réorienter son plan d’actions conformité, un an après l’entrée en application du RGPD ?

Comment réorienter son plan d’actions conformité, un an après l’entrée en application du RGPD ?

Plus de douze mois après son entrée en application, le Règlement Général sur la Protection des Données (RGPD) constitue toujours une préoccupation majeure au sein des organisations. Face à la menace de sanction financière (jusqu’à 4% du CA groupe), les entreprises ont pris conscience de l’importance du sujet et se sont engagées, à des degrés divers, dans des actions de mise en conformité. Alors que les chantiers les plus à risque ont été finalisés, il s’agit désormais de mener les transformations de fond pour déployer une organisation de la conformité sur le long terme, tout en pérennisant les actions dans une approche « Privacy by Design ». 

Priorité #1 : finaliser le traitement des « points durs » de la mise en conformité

Dans le cadre de la mise en conformité de l’existant, les organisations peinent encore à finaliser certains travaux. Nous identifions des difficultés majeures chez nos clients, parmi lesquelles la limitation des durées de conservation. Alors que les données personnelles sont bien souvent utilisées par différents métiers, de façon plus ou moins opportuniste, il peut s’avérer très complexe de converger vers une durée de conservation cible qui satisfait tous les usages fonctionnels, tout en garantissant le respect du règlement. Alors même que la durée limite de référence n’est pas toujours aisée à définir lorsqu’elle ne fait pas l’objet d’indications de la part de la CNIL. Une fois ces éléments déterminés, il faut encore étudier les choix techniques les plus pertinents pour réaliser un archivage adapté aux usages et aux enjeux de sécurité. 

La détection réactive des violations de données à caractère personnel constitue une autre préoccupation majeure des organisations qui se sentent bien souvent dépourvues pour identifier et mettre en place des solutions techniques efficaces. Alors que la CNIL a recensé dans ses dernières communications pas moins de 2 044 notifications de violation de données reçues en France et 89 271 au niveau européen depuis l’entrée en application du RGPD, preuve de progrès majeurs dans la mise en place de process dédiés, l’identification réactive demeure bien souvent un chantier inachevé. Même si DPO, RSSI et autres acteurs de la mise en conformité se mobilisent pour obtenir les budgets nécessaires au déploiement d’outils parfois coûteux pour de petites structures, il faut également engager des moyens pour s’assurer du contrôle des mesures de sécurité par les sous-traitants. Et là encore, sortir le chéquier pour financer des actions tels que des audits externes. Il s’agit donc d’affiner au fil du temps le dispositif cible qui concilie maîtrise budgétaire et pilotage raisonné des risques.

Priorité #2 : pérenniser l’organisation de la conformité

En parallèle de la mise en conformité de l’existant, la prise en compte des exigences du règlement dès la conception des projets est cruciale. Et même obligatoire puisqu’elle fait l’objet d’un article dédié. Voilà pour la théorie.

Mais pour ce qui est de la pratique, la détection et l’appui des projets par les dispositifs de la conformité est loin d’être systématique. Les chefs de projet n’ont pas toujours le réflexe de consulter leur DPO pour s’assurer du respect des bonnes pratiques, craignant de devoir payer et piloter l’implémentation de certaines recommandations pas toujours bien comprises. Par conséquent, l’intégration du « Privacy by Design » à la gouvernance projets constitue pour nous LE facteur clé de succès pour garantir des déploiements RGPD-compliant. Cela permet de systématiser l’analyse, tout en exploitant les synergies avec les autres acteurs en appui (RSSI pour identifier les mesures de sécurité par exemple). Dans les contextes où l’instruction des sujets par le DPO constituerait une étape chronophage, il apparaît plus que nécessaire d’identifier et former des relais opérationnels pour le suppléer dans cette mission.

Indépendamment des projets qui doivent s’inscrire dans un process dédié, les entreprises doivent également s’organiser pour piloter la conformité en mode run. Mise à jour du registre des traitements, gestion des demandes d’exercice des droits, intégration des recommandations CNIL au fil de l’eau sont autant d’actions à mener et à structurer sur le long terme pour garantir la conformité. Pour atteindre cet objectif, la mise en place d’un dispositif dédié au RGPD en mode run est donc inévitable. Et la simple mise en œuvre d’un plan de mise en conformité coup de poing insuffisant.

Le sujet de la sensibilisation des équipes s’inscrit lui aussi dans une dynamique sur le long terme. Nous avons la conviction qu’établir un plan de sensibilisation dédié au RGPD constitue un facteur clé de succès pour maintenir les membres des organisations engagés au quotidien dans la protection des données personnelles qu’ils sont amenés à manipuler. Grâce au recours à des formats d’évènements innovants ou l’emploi de supports ludiques, il est désormais plus facile de communiquer et de créer les bons réflexes en interne. Vidéos motion design, sessions de formation interactives, helpdesk en mode chatbot… tous les moyens sont bons ! Et pourquoi pas mutualiser ses actions avec le RSSI, habitué à sensibiliser les collaborateurs sur les bonnes pratiques en matière de sécurité ?

Priorité #3 : faire du RGPD une opportunité pour valoriser son patrimoine data

Mais le RGPD ne doit pas seulement être considéré sous l’angle de la contrainte. L’exercice inévitable de la cartographie des données constitue un livrable à forte valeur ajoutée pour les organisations. Il s’agit d’une opportunité incroyable pour valoriser son patrimoine data, en identifiant de nouveaux usages possibles, voire de nouveaux services à commercialiser en mode data as a service. Cela permet également d’envisager des actions d’optimisation de la donnée en interne, en imaginant des actions de rationalisation au sein des systèmes d’information, comme par exemple la mise en place de règles de gestion pour améliorer la qualité de la donnée collectée, ou le décommissionnement d’applications obsolètes.

Les actions menées conduisent d’autre part au lancement de réflexions en interne sur la gouvernance de la donnée. Les Directions Data, en première ligne, s’emparent désormais du sujet pour structurer une organisation et des processus alignés sur un usage raisonné et sécurisé des données.

Plus d’un an après son entrée en application, les enjeux du RGPD se sont ainsi globalement diffusés au sein des organisations et de leurs processus. Néanmoins, un long chemin reste à parcourir pour garantir une application pérenne dans toutes les strates de l’entreprise, alors même que la CNIL entend renforcer ses actions coercitives.

Partager cette publication