La réglementation RGPD est souvent considérée comme une contrainte. Ne serait-ce pas plutôt une opportunité ? Une occasion de mieux maîtriser des processus métiers existants et de les optimiser.
Il existe au sein d’une entreprise divers processus métiers. Chacun d’eux produit des éléments en sortie qui alimentent l’entrée du processus suivant. Il est donc primordial, pour un pilotage efficace, de les comprendre, de les mesurer et de les optimiser. Et puisque l’exécution d’une partie de ces processus utilise justement des données personnelles, RGPD va nous donner une occasion unique d’introspection …
Utilisation des données personnelles
Un des aspects de RGPD, va consister à réaliser le registre de traitement des données. En d’autres termes, à comprendre et à justifier les actions manuelles ou automatisées réalisées dans le cadre de notre activité.
Cette démarche va donc nous imposer de revoir nos processus pour se mettre en conformité avec la réglementation en vigueur. C’est donc une occasion qui nous est donnée, de considérer notre organisation interne, de performer au niveau métier, de sécuriser nos systèmes et de protéger notre image de marque.
Comment ? En maitrisant chaque action exécutée, chaque interaction entre les processus, en appliquant une notion de cycle de vie (rétention) et en maitrisant les flux de données et la volumétrie engendrée. En d’autres termes, en créant un environnement de travail sécurisé et à coûts maitrisés.
Vers du LEAN IT ?
Une approche LEAN IT associée à la démarche RGPD aura une véritable valeur ajoutée pour les métiers : suppression du gaspillage, de la variation et des aberrations, pour faire bien du premier coup.
La difficulté principale va finalement être de conserver cette maîtrise des processus, et par conséquent la conformité RGPD. Encore une fois c’est une opportunité ! Le travail de compréhension et d’optimisation des processus étant réalisé, c’est le moment idéal pour s’engager dans une démarche d’amélioration continue. L’idée est simple, mesurer la performance, corriger si nécessaire, vérifier le résultat. Pour cela, il sera nécessaires de mettre en place des KPI, ou plutôt les bons KPI ! Ceux qui sont pertinents et nécessaires.
Amélioration continue
Ne s’améliore que ce qui se mesure… Ne se mesure que ce qui se comprend... Ne se comprend que ce qui se décrit et se partage...
Comment mettre en oeuvre une démarche RGPD ?
Une mise en conformité RGPD se déroule en 5 grandes étapes. Il faudra dans un premier temps nommer une DPO. Son rôle est clairement défini au niveau de la CNIL et celui ci peut être interne ou externe à l’organisation.
DPO : compétences et relationnel
Le DPO doit posséder des compétences juridiques, techniques et un excellent relationnel.
Etape 1 : Définir une organisation RGPD interne
La première étape est donc de désigner un DPO. Idéalement, une lettre de mission sera rédigée et la mission et les moyens précisés. Il faut impliquer, non seulement les collaborateurs, mais également la direction, dans la démarche.
Etape 2 : Etablir le registre des traitements
Cette étape va impliquer les différents métiers et en particulier les responsables de services. En effet, le DPO ne peut en aucun cas avoir une vision des traitements effectués au sein de chaque processus. Son rôle sera donc d’animer des ateliers pour cartographier les différents traitements et d’identifier les cycles de vie associés.
Une fois ces atelier terminés, et le registre des traitements complété (par les métiers), le DPO sera en charge de relire celui ci et d’identifier les non conformités éventuelles.
Etape 3 : Etablir un plan d’action
Une des difficultés principale sera de respecter les délais. Il est donc primordiale d’aborder la démarche de mise en conformité RGPD comme une démarche projet. Une approche possible sera de prioriser les actions en fonction des risques existants pour la société.
Le plan d’action sera différent selon l’activité de l’entreprise et devra être flexible pour s’adapter dans la durée.
Les enjeux de la démarche RGPD
Protéger les données personnelles de nos collaborateurs, de nos clients et de nos fournisseurs
Préserver l’image de marque de l’entreprise
Se protéger des sanctions.
Etape 4 : Gérer les risques
Le risque principal en matière de démarche RGPD reste la capacité de l’entreprise à rester conforme dans le temps. Il va donc être nécessaire de rendre automne les équipes pour que les processus existants et ceux à venir respectent la réglementation en vigueur.
L’autre point critique réside en une réalité des durées de conservation des données. Cela sous entend encore une fois une parfaite maitrise des processus existants.
Il est possible, lors de la création des processus de se baser sur les outils proposés par la CNIL, comme par exemple l’AIPD (Analyse d’Impact Relative à la Protection des Données)
Etape 5 : Organiser les processus internes
Comme pour les approches ITSM et DevOps, la notion d’automatisation est importante. Il va s’agir d’informer automatiquement le DPO d’un changement au niveau d’un processus métier. Cette organisation va donc imposer une certaine rigueur et la formalisation de politiques, de procédures et des audits réguliers. Ces écrits permettront de démontrer la conformité, d’effectuer des arbitrages mais surtout de s’engager dans une démarche pérenne.
Il sera également nécessaire de solliciter le DPO dès le début de la création ou de la modification d’un processus (Privacy by design). L’aspect RGPD doit en effet être intégré dès le départ.
Il faudra également envisager une possible fuite ou violation de données. A ce titre le DPO sera le référent pour qualifier et tenir le registre des violations. Il aura également un rôle vis à vis des autorités et des déclarations.
Plus d’informations ? Visitez notre site ou contactez vous via le formulaire ‘Contact‘.
