Comment passer à côté des 4 lettres les plus utilisées ces derniers mois : RGPD ? Le Règlement Général sur la Protection des Données qui entre en application le 25 Mai 2018 est un des sujets prépondérants cette année.

Il y a beaucoup d’articles sur Internet qui parlent de la RGPD : décryptage des textes, sanctions, mise en conformité, … Mais très peu parlent réellement de la route menant à la conformité.

Le site de la CNIL regorge d’informations et de guide, mais aucun cas concret n’y est réellement décrit.

Petit retour sur un cas concret dans un groupe international de 400 personnes. La conformité n’est pas encore atteinte, mais la démarche est lancée depuis bientôt 6 mois.

RGPD : un projet d’entreprise

Un projet de mise en conformité RGPD – car il s’agit bien d’un projet – est un projet d’entreprise, au même titre que la mise en place d’un plan de gestion de crise. Il implique toutes les directions métiers, toutes les entités et va même au-delà en impliquant les sous-traitants.

Pour faciliter l’adhésion des personnes au projet, il est primordial que la démarche soit initiée (ou au moins largement soutenue) par la direction de l’entreprise.

« Avoir un soutien du P-DG est indispensable. S’il peut porter le rôle de messager auprès des directions métiers, c’est encore mieux ! »

La RGPD, ce n’est pas (QUE) de l’informatique 

Bien que souvent révélé par les services Informatique, la RGPD n’est pas un projet purement IT.

Les étapes de mise en conformité impliquent de nombreux acteurs : Juridique, Risk Management, RH, Marketing, Commerce, Communication, Comptabilité. Dans toutes les entités et dans tous les pays.

« La DSI est très impliquée dans la mise en conformité, mais elle ne doit pas être seule pilote ! Les directions métiers doivent prendre le projet à bras le corps pour sa réussite. Une communication globale assortie de sessions (courtes) de présentation du projet est une nécessité. Un binôme DSI/Risk Manager comme chef de projet est un bon compromis. Cela assure une vision globale du sujet. »

Par où commencer ? 

Le sujet étant complexe, il peut être compliqué de savoir par où commencer ! Voici quelques conseils :

1. Se renseigner : Le site de la CNIL est une très bonne source. SAPHELEC peut vous accompagner dans cette étape aux travers de présentations.

2. Communiquer : Organiser une communication à l’attention des directions métiers, de tous les collaborateurs et des sous-traitants est une étape importante. La RGPD doit être comprise par tous.
3. Construire un groupe projet : les directions métiers, la DSI, le Juridique, les directions d’entités, de BU et de pays le cas échéant.

« Prévenir les directions en amont est un atout. Cela permet de les rassurer, de leur présenter de manière informelle le projet et de les préparer à l’exercice ! 5 à 10 minutes par personne autour d’un café pas plus ! »

Le plan d’action RGPD 

La collecte d’informations

Vient ensuite la pratique ! Il faut réaliser les premières phases de collecte d’informations : les traitements, les sous-traitants… Structurer toutes ces informations pour pouvoir ensuite passer aux étapes suivantes.

« Attention, lors de la collecte des données, plusieurs pièges se présentent : minimiser l’importance des traitements, ne pas considérer les vieilles bases de données, se dire que ça n’arrive qu’aux autres ou encore aborder le sujet sous l’axe des applications et non des finalités de traitement, même si cartographier son système d’information peut se révéler d’une aide précieuse. »

La CNIL met à disposition gratuitement des modèles de registres de traitements. Vous pouvez les retrouver sur leur site Internet.

Les étapes suivantes dépendent énormément du travail réalisé lors de la collecte. Elles seront d’autant plus simples que la phase de collecte a été réalisée avec précision.

Les premières actions de mise en conformité RGPD

Lorsque tous les traitements sont répertoriés, il faut lister toutes les actions à mener pour les mettre en conformité avec le Règlement ! Certaines actions seront rapides et simples, d’autres demanderont une charge plus importante.

« Lister les actions dans un tableur en leur attribuant une urgence, une complexité ainsi qu’un degré de risque. Vous saurez ensuite très rapidement comment organiser la suite du projet : traiter les actions simples et urgentes en priorité. Cela montre que la démarche de conformité est clairement lancée dans votre entreprise ».

Pour tous les traitements qui peuvent porter un risque élevé pour les données personnelles, une analyse d’impact est nécessaire. Là encore, la CNIL propose un outil pour aider à la réalisation des analyses.

L’organisation et la documentation

Il faut ensuite pouvoir prouver que les règles de la RGPD sont bien appliquées dans l’entreprise.

Pour cela, il faut intégrer ces règles dans le fonctionnement même de l’entreprise (Confidentialité par défaut, communication et sensibilisation) et documenter tout le travail fait durant le projet (liste des traitement, contrats, preuves de conformité…).

« La CNIL devient un organisme de contrôle. En cas d’audit de votre entreprise, il faut pouvoir prouver que vous êtes conforme aux directives du RGPD. Cela passe par de la documentation régulièrement mise à jour incluant notamment le registre des traitements, les analyses d’impact, les preuves de consentement des personnes… »

Pour conclure 

La mise en conformité est un projet complexe et long à mettre en œuvre. Seulement 50% des entreprises seront conformes le 25 Mai 2018.

Il y a tout de même urgence à agir : entamer une démarche de mise en conformité est une première étape cruciale.

Il est important de ne pas sous-estimer ce sujet et ne pas le « reporter à plus tard ». Les récents événements en termes de cyber attaques (Avril et Mai 2017), de fuites de données (Facebook Analitica), de failles de sécurité (SAV Darty en début d’année) et d’abus montrent qu’il ne faut pas attendre pour renforcer sa sécurité informatique.

Le RGPD est aussi un excellent moyen pour retrouver la confiance des consommateurs.