La réussite de la mise en conformité au RGPD (Règlement Général sur la Protection des Données) passe nécessairement par une véritable stratégie de gouvernance « data », en y mettant les moyens humains, financiers et matériels nécessaires. Mais aussi, par des attitudes ou comportements à adopter pour éviter des mauvaises surprises. Voyons quelques pièges à éviter pour la réussite de la mise en conformité au RGPD d’un organisme.
1. Confondre l’indépendance du DPO avec défiance de la direction
Le DPO est indépendant dans l’exercice de sa mission et ne doit recevoir aucune instruction d’un service ou organe de l’organisme. Par ailleurs, le responsable du traitement et le sous-traitant doivent veiller au respect de cette indépendance. Toutefois, le bon déroulement des missions du DPO passe par une bonne pédagogie pour expliquer le bien fondé et les avantages de la démarche de mise en conformité au RGPD de l’organisme. Il vaut mieux pour le DPO d’avoir la confiance, le soutien et l’implication des organes de décision et de la direction que contre lui.
2. Penser sa conformité dans le seul but d’éviter une sanction de l’autorité de contrôle
L’organisme qui ne respecte pas les obligations du RGPD encourt des sanctions pouvant aller de 10 millions à 20 millions d’euros d’amendes ou dans le cadre d’une entreprise, de 2% à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent. On pourrait donc être tenté d’avoir pour seul objectif d’éviter une sanction en cas de contrôle. Au contraire, la mise en conformité au RGPD doit être l’occasion de réfléchir sérieusement à sa politique globale de gestion des données personnelles et de leur mise en œuvre pratique et effective.
L’organisme doit donc adopter une approche globale prenant en considération tous les aspects des données personnelles détenues par l’entité. La bonne maîtrise et la protection de la donnée dont l’organisme est responsable est à la fois un gage de confiance pour les personnes « titulaires » de droits sur ces données, mais aussi un bon levier de développement économique dans le respect des droits et libertés des personnes concernées par les traitements liés à ces des données. En effet, la gestion de la données est facteur d’efficacité opérationnelle, dans la mesure où, elle permet l’amélioration de la qualité des données afin de réduire les erreurs, anomalies, etc. Elle permet également d’impulser une meilleure expérience client par l’anticipation des besoins du client. On peut mieux conseiller, proposer de nouvelle offre commerciale à son client que si on le connaît davantage.
3. Confier la tâche au DPO ou à une équipe de juristes en compliance et/ou d’informaticiens spécialistes en data pour que le tout soit joué
Non, l’organisme doit allier une démarche collective et collaborative. Tous les organes, services et instances de décision doivent s’y mettre et se sentir concernée par un projet d’une telle envergure. Il est, certes, primordial de mettre en place un “Comité dédié” aux côtés du délégué à la protection des données (DPO). Ce comité assurera la pérennité de la mise en conformité. Elle pourra s’occuper de l’évolution de la stratégie et de la gouvernance relatives aux données personnelles. Ce comité doit être pluridisciplinaire dans la mesure du possible ( composé d’informaticiens, juristes, managers, de membres de la direction, si possible tous les responsables de service). Mais, il est indispensable que tout le personnel soit sensibilisé et impliqué à la démarche de mise en conformité au RGPD. On ne le dira jamais assez: la conformité est l’affaire de tous!
4. Déterminer les besoins au fil de l’eau
La démarche de mise en conformité au RGPD doit s’appuyer dans la mesure du possible sur un état des lieux du niveau de maturité de l’organisme en matière de gestion et de protection des données. Cet audit doit permettre de clarifier les besoins et objectifs de la mise en conformité. Ainsi, avant, la mise en œuvre des outils de conformité, un audit suivi d’un plan d’action clair et suffisamment détaillé s’imposent pour la réussite de la démarche de mise en conformité au RGPD.
5. Privilégier un langage technique dans un domaine spécifique et obliger les autres à s’y soumettre
La mise en conformité au RGPD nécessite des connaissances et compétences pluridisciplinaires à la fois juridique, informatique, de cybersécurité, de management de projet, de communication et autres. L’une des principales difficultés des projets incluant plusieurs domaines reste l’impossibilité de se comprendre. La démarche de mise en conformité doit s’articuler dans un vocabulaire commun défini au préalable. Si un comité a été constitué ( ce qui est fortement conseillé), il doit donc mettre en place un langage compréhensible par tous vis-à-vis de de la réglementation en prenant en compte les particularités et les spécificités de l’organisme.