RGPD : 5 conseils pragmatiques pour votre mise en conformité

Anthony LEMARCHANT – 24/05/2018

Le cadre législatif relatif à la protection des données à caractère personnel a récemment évolué avec le règlement européen « RGPD » et prévoit une amende s’élevant jusqu’à 4% du CA des entreprises qui ne seraient pas en conformité. Libertés individuelles, droits fondamentaux, transparence et confiance… les enjeux sont nombreux. Le RGPD entrera en application le 25 mai 2018 et place tout à coup le traitement des données en haut de la pile des priorités des entreprises. Voici 5 actions concrètes à mettre en place dans votre entreprise pour préparer votre conformité.

1. SENSIBILISER LA DIRECTION, L’ÉQUIPE PROJET RGPD, PUIS L’ENSEMBLE DES COLLABORATEURS.

Chacun connait la maxime « on ne fait pas d’omelette sans casser des œufs ». Il est également coutume de dire que « le problème se situe souvent entre la chaise et le clavier ». Pour le RGPD, c’est la même chose. Mieux vous sensibiliserez, plus vous le ferez en amont, moins vous casserez d’œufs et moins vous aurez d’erreurs humaines.

On ne le dira jamais assez : le RGPD est un sujet d’Humains avant d’être un sujet d’outils. Dites l’essentiel à la Direction pour débloquer un budget et nommer un Délégué à la Protection des données (DPO), formez sérieusement les personnes en charge de la mise en conformité en tenant compte de leur background (sujet transversal = équipe pluridisciplinaire), éduquez le reste du personnel par l’exemple ou le jeu.

2. RECENSEZ AVEC EXHAUSTIVITÉ VOS APPLICATIONS, VOS SOUS-TRAITANTS ET VOS SITES INTERNET

Le RGPD impacte l’humain, les process (phase organisationnelle), les outils (phase opérationnelle) et les contrats (phase juridique). Votre démarche doit être globale car le RGPD exige une chaine de conformité, du sous-traitant au client en passant bien sûr par l’entreprise qui est responsable du tout : un maillon faible et l’ensemble de la chaine aura vite fait de rouiller et casser. Pour aborder sereinement les différentes phases, vous devez dresser l’inventaire précis des principaux pôles de risques :
• Les applications : ce qui permet de traiter les données ;
• Les sous-traitants : ceux à qui vous confiez tout ou partie du traitement des données ;
• Les sites internet, applications mobiles et autres : vos canaux de recueil des données.

Pour réaliser cet inventaire vous mobiliserez toute l’entreprise car personne n’a toutes ces informations sous la main. La sensibilisation préalable prend déjà tout son sens : chacun saura ce que vous cherchez à recenser et optimisera la manœuvre.

3. PRIORISER LES ACTIONS À MENER AVEC UNE APPROCHE PAR LES RISQUES

Le RGPD, en ce qu’il est très transversal, est un sujet d’ampleur. Il invitera tout un chacun à remettre en cause et faire évoluer sa façon de travailler et les outils métier associés. Dans ces conditions il n’est pas question de tirer dans tous les sens, il faut prioriser : on réfléchit, on vise, on charge, on tire, on contrôle l’impact et ajuste la mire si nécessaire, puis on recommence.

Même la CNIL invite à prioriser les actions de mise en conformité RGPD. Concrètement :
• Identifiez vos secteurs à risques : risque de la donnée (ex : donnée de santé), risque de l’utilisation faite de la donnée (ex : tracking des personnes), risque du lieu de stockage de la donnée (ex : serveurs hors UE), risque des tiers vis-à-vis de la donnée (ex : vol de données bancaires), etc. ;
• Identifiez vos secteurs à potentiel (ex : valoriser la marque employeur ou prendre des parts de marché à la concurrence grâce à un label CNIL).

cnil

4. ÊTRE UN COACH ATTENTIONNÉ, PAS UN GENDARME

Recenser, auditer, modifier voire renouveler les outils : même en ayant une démarche claire et structurée ayant la sensibilisation pour fondation, le RGPD vous placera à la frontière entre évolution justifiée et mesurée versus bouleversements excessifs par excès de zèle. Vous ne devez pas être là pour épier par-dessus l’épaule des collaborateurs et sanctionner : chaque recommandation devra être accompagné d’une solution pragmatique :
• Vous découvrez au service marketing des tableurs dans chaque recoin des postes de travail, contenant des données plus ou moins sensibles, déstructurées et difficiles à gérer en termes de conformité RGPD ? Identifiez les fonctionnalités manquantes dans le CRM qui imposent le recours aux tableurs et proposez un outil complémentaire pour combler ce manque ;
• Chaque collaborateur a un pense-bête sous le clavier avec tous ses mots de passe ? Vous étiez peut-être allé trop loin : simplifiez les exigences ou mettez en place un gestionnaire de mots de passe ;
• Etc.

5. CAPITALISER ET PÉRENNISER LA DÉMARCHE DE CONFORMITÉ RGPD

En fonction de la taille et des activités de votre structure, 6, 12, 20 mois ou plus encore se seront écoulés entre le démarrage du projet RGPD et l’atteinte d’un niveau de conformité louable. Vous aurez fédéré tous les services et tous les collaborateurs autour d’une démarche qualité et gouvernance des données, mais n’allez pas croire que votre mission sera ici accomplie : vous n’aurez fait que 50% du travail.

En effet le RGPD n’est pas un sujet « one shot » que vous pourrez balayer en quelques mois puis remiser aux archives. Il vous faudra défendre et maintenir votre titre d’ « acteur respectueux de la donnée » en renouvelant l’ensemble des actions précédentes de manière partielle mais régulière, dans une logique d’auto-contrôle.

Notre engagement à tous en matière de protection des données devrait aller au-delà du simple respect d’une contrainte légale. Il devrait procéder avant tout de notre volonté de travailler avec nos clients et collaborateurs dans une relation guidée par le respect et la confiance. A2COM vous accompagne dans cette démarche :

Goodbye A2COM

A2COM FOLIATEAM perd son préfixe pour ne conserver que Foliateam et arborer fièrement les couleurs de son Groupe !

Désormais, pour retrouver le contenu de ce site, l’ensemble de nos services et pour nous contacter… rendez-vous sur

Psst, vous pouvez nous appeler Foliateam Grand Ouest maintenant !