Les clés de réussite du pilotage d’un projet RGPD
Le GDPR (ou RGPD) entre en vigueur le 25 mai 2018. Avant cette date, les entreprises traitant des données personnelles doivent entreprendre les démarches nécessaires de mise en conformité. Comment se déroule un projet GDPR ? Quelles sont les principales étapes ? Qui sont les acteurs (internes et externes) impliqués dans ce type de projet ? Comment se répartissent les rôles entre les différents interlocuteurs ? Nous répondons à vos questions.
Conseil opérationnel à la mise en conformité GDPR, CustUp vous accompagne dans la réussite de votre projet GDPR.
Le projet GDPR est un projet transverse : il doit impliquer l’ensemble de l’organisation
Le projet GDPR requiert la mobilisation de l’organisation dans son ensemble
Le projet GDPR est bien plus qu’un projet technique, au sens d’un projet qui serait conçu et mis en œuvre par des techniciens. Il est fondamentalement un projet transverse, nécessitant une implication sérieuse de tous les départements de l’organisation.
Pour plusieurs raisons. D’abord, le règlement GDPR a pour objet d’encadrer les pratiques relatives au traitement et à la sécurité de l’ensemble des Données à Caractère Personnel (DCP), de leur collecte à leur stockage, de leur utilisation à leur destruction. Or, il est bien évident que toutes les composantes de l’entreprise sont, de près ou de loin, concernées par ces pratiques, des Ressources Humaines au Juridique, en passant par la finance / comptabilité fournisseurs, la DSI et le Marketing/Commercial.
Ainsi, le règlement européen GDPR vise à renforcer la responsabilité des entreprises dans la protection des données personnelles qu’elles détiennent et utilisent sur leurs clients ou prospects. Il est donc primordial que les responsables des traitements de tous les départements soient engagés dans la démarche et participent à sa mise en oeuvre avec une vision commune.
L’objectif du règlement GDPR est d’obliger les entreprises à revoir (parfois de fond en comble) leur politique de gestion des données personnelles. Le règlement européen GDPR va impacter le fonctionnement de l’ensemble de l’organisation. Il exige des changements juridiques (contrats signés avec les clients et les sous-traitants, règles de consentement…), organisationnels (désignation d’un Data Protection Officer, chaîne de responsabilité, reporting) et technologiques (architecture des systèmes d’information, cyber-sécurité, datamining…). Toutes les fonctions de l’organisation et toutes les compétences internes doivent être mobilisées pour la mise en œuvre du projet de mise en conformité avec le GDPR.
Le projet RGPD : un projet qui doit être porté par la Direction Générale
Ce point découle du précédent. Un projet qui entraîne des changements au niveau global de l’organisation doit, en toute logique, être porté de préférence par la Direction Générale. Si l’impulsion du projet GDPR peut être donnée par la direction juridique, la DSI ou encore le marketing, un sponsoring fort de la Direction Générale est nécessaire au bon déroulement de la démarche de mise en conformité.
Plus qu’une simple sensibilisation, CustUp recommande une réelle implication de la Direction Générale dans la mise en œuvre du projet. Le sponsor du projet est idéalement désigné au sein de l’équipe dirigeante – en particulier si le traitement des données constitue le cœur de métier de l’entreprise ou le générateur de son actif.
Le Data Protection Officer (DPO) doit être désigné au démarrage du projet
Le DPO joue un rôle clé dans le pilotage d’un projet GDPR. Il est LE pilote du projet.
Rappelons que la désignation d’un DPO (explicitée dans les articles 37 à 39 du règlement) est au cœur de la réforme. Véritable chef d’orchestre de la mise en conformité, le DPO est la personne chargée de superviser la mise en œuvre du projet GDPR au sein de l’entreprise, de sensibiliser et de conseiller les responsables des traitements, d’animer les chantiers et de coordonner les différents acteurs impliqués (internes et externes).
Indépendant, il est le point de contact entre les autorités de contrôle (CNIL…) et l’organisation. Précisons que le DPO n’est pas responsable de la conformité au GDPR. Cette responsabilité est portée par les responsables des traitements de l’entreprise. Il est essentiel que le DPO soit libre et indépendant pour mener sa mission, il ne doit pas être placé en situation de conflits d’intérêts.
Nous vous conseillons de désigner un DPO dès la phase de démarrage du projet. Le choix du DPO doit prendre en compte un certain nombre de critères de compétences et d’éthique. Il doit, à l’évidence, maîtriser tous les enjeux liés à la protection des données personnelles en général, et au RGPD en particulier. Il peut être membre de l’entreprise ou agir en qualité de prestataire externe (cabinet d’avocat, cabinet de consulting…).
Le projet GDPR requiert une équipe pluridisciplinaire
Comme nous l’avons rappelé, le projet GDPR est un projet transverse qui nécessite une forte implication de la Direction Générale mais également la constitution d’une équipe pluridisciplinaire, interne et/ou externe, permettant une prise en compte de tous les enjeux du projet : juridiques, organisationnels, technologiques, commerciaux, marketing… L’équipe GDPR ne saurait être une équipe constituée uniquement de techniciens.
Les différentes étapes du pilotage d'un projet DG
Le DPO pilote le projet GDPR dans ses différentes étapes. Les responsables des traitements participent, accompagnés par le DPO, au diagnostic des données et à la mise en œuvre des chantiers. La DSI intervient sur les aspects techniques, en particulier dans la phase de diagnostic des données mais également sur l’aspect sécurité. La Direction Générale est impliquée dans la phase de validation du plan d’actions construit sur la base des diagnostics réalisés. Les responsables RH, marketing, commercial, technique ou encore juridique sont amenés à donner leur éclairage sur les enjeux liés à leur champ de compétences respectifs au fil du déroulement du projet. La réussite du pilotage d’un projet GDPR requiert une participation active et une coordination efficace de tous les acteurs.
Pour bien comprendre les modalités de pilotage et le rôle des différents acteurs, il n’est pas inutile de détailler les principales étapes d’un projet GDPR. Nous pouvons décomposer un projet GDPR en quatre grandes étapes.
Une première étape consiste à cadrer le projet, à définir son périmètre d’application, à faire le point sur ses conséquences sur l’organisation, à désigner un DPO, un sponsor et des interlocuteurs, à identifier les responsables des traitements au sein de l’entreprise et à l’externe, à identifier éventuellement des prestataires et outils associés, à mettre au jour les éléments flagrants de conformité. Les grandes lignes et étapes du projet sont dessinées. Cette étape préparatoire du projet, qui peut être réalisée dans le cadre d’un atelier participatif, nécessite une implication forte de la Direction Générale et une participation des principaux responsables internes. Elle s’achève par l’établissement d’une feuille de route du projet GDPR.
La deuxième grande étape consiste à qualifier les pratiques actuelles en matière de traitement des données personnelles. Des diagnostics, donnant lieu à un travail de mapping, sont opérés. Ils portent sur les dispositifs de collecte des données et de recueil des consentements, les bases de données et les différents flux afférents, l’utilisation des données et les règles de traitement. Un diagnostic sur la sécurité et les process informatiques (analyse des risques, Privacy By Design…) doit également être entrepris. Il s’agit, dans cette étape, de mesurer les écarts entre les pratiques actuelles et le règlement GDPR. A noter que le diagnostic doit porter sur les données gérées par l’entreprise, mais également sur celles gérées par les partenaires, sous-traitants et fournisseurs.
Comment sont collectées les données à caractère personnel ainsi que les consentements ? Où sont-elles stockées (outils, prestataires…) ? Quelles sont ces données ? Le principe de data minimalisation est-il respecté ? Quels sont les flux de transfert entre les différentes bases ? Pour quelles finalités les données sont-elles utilisées ? Quelles sont les mesures existantes en matière de protection des données ? Quel est le niveau de sécurité des bases de stockage et des flux (cryptage, anonymisation…) ? Quelles sont les procédures en vigueur en cas de violation ? Quelles sont les failles de sécurité ? C’est à toutes ces questions qu’il s’agit de répondre. Ce diagnostic général, piloté par le DPO qui peut être assisté par des personnes tierces, requiert l’implication des responsables des traitements et de la DSI (pour les aspects de sécurité).
Le diagnostic aboutit à l’identification des risques et à la priorisation des chantiers à mener en vue de la conformité GDPR. La troisième étape consiste à construire un plan d’action, dans lequel sont listées et programmées les différentes actions et chantiers à entreprendre. Le DPO, en collaboration avec les acteurs du projet, identifie, arbitre, hiérarchise et ordonnance les chantiers. Ces derniers concernent les différents aspects de la mise en conformité : modes de collecte, de stockage, gestion des flux, utilisation des données, sécurisation des données. La Direction Générale intervient pour la validation des chantiers, des chantiers et de la roadmap. La pertinence de la feuille de route a un impact sur le pilotage de la dernière phase du projet GDPR : la mise en œuvre des chantiers. Le plan d’action doit être exhaustif et clair. Il peut être construit à partir d’une matrice d’arbitrage.
Le pilotage de la mise en œuvre des chantiers du projet GDPR
Les chantiers sélectionnés sont déclenchés en suivant le calendrier général défini dans la roadmap. Ce sont les responsables des traitements des différentes directions de l’entreprise qui sont les maîtres d’œuvre des chantiers. Ils sont accompagnés dans leur travail par le pilote du projet GDPR : le DPO. Nous pensons qu’il est pertinent, du point de vue organisationnel, de découper les grands chantiers en sous-chantiers (ou actions) et de confier chaque grand chantier à un responsable opérationnel.
A l’évidence, la nature des chantiers varie d’un projet à l’autre. Il existe néanmoins des constantes, des chantiers incontournables, comme la mise aux normes du plan de collecte et des consentements, la création d’un registre des traitements, la mise en place de mesures de traçabilité… Quoiqu’il en soit, les chantiers doivent être hiérarchisés et ordonnancés en fonction des priorités et des contraintes de l’entreprise, mais aussi et surtout en fonction du niveau de risques (comme y invite d’ailleurs explicitement la CNIL). Si l’entreprise n’a pas les ressources financières, humaines et techniques lui permettant de mener de front tous les chantiers de conformité, il lui revient de prioriser les chantiers portant sur les zones de risque.
La réussite du projet GDPR suppose un dialogue efficace entre les interlocuteurs internes (marketing, RH, DSI…) et externes (prestataires, consultants, juristes…) dans la mise en œuvre des chantiers. Il revient à la Direction Générale (sponsor) et au DPO de suivre l’avancement des chantiers, de s’assurer du respect du planning, de motiver les maîtres d’oeuvre. Il est fortement conseillé de constituer des Comités de pilotage du projet GDPR, qui se réuniront régulièrement (idéalement une fois par mois) pour suivre l’avancement des chantiers, faire le point sur les difficultés rencontrées et décider des ajustements nécessaires.
Abordons pour conclure la question du calendrier. Comme vous le savez surement déjà, le règlement RGPD entrera en vigueur le 25 mai 2018 et s’appliquera directement à tous les Etats membres de l’Union européenne. Les autorités réglementaires sont conscientes de l’ampleur des efforts qu’elles demandent aux organisations et savent pertinemment qu’une minorité d’entreprises auront achevé leur démarche de mise en conformité le 25 mai. C’est la raison pour laquelle une certaine tolérance sera accordée aux entreprises qui auront engagé une démarche sérieuse de mise en conformité avant la date butoir du 25 mai (concrètement : les entreprises qui auront commencé à déclencher les chantiers prioritaires).
Nous encourageons les entreprises ayant mené une démarche de conformité à se doter d’un code de conduite ou d’une certification GDPR afin de minimiser les sanctions de l’autorité de contrôle en cas de défaut de conformité au GDPR. Les codes de conduite sont proposés par des associations ou des syndicats professionnels. Ils fixent les bonnes pratiques applicables. Les certifications, quant à elles, sont délivrées par des organismes de certification agréés par l’autorité de contrôle. Elles permettent à l’entreprise de faire constater la conformité de ses procédures au regard du règlement. La certification est l’aboutissement d’un projet GDPR réussi.
Le RGPD impose aux entreprises des changements – et parfois des bouleversements – dans la politique de gestion des données personnelles. Les organisations doivent s’y préparer dès maintenant (il n’est jamais trop tard). La réussite du projet GDPR repose sur une implication de tous et sur un pilotage de qualité tout au long des étapes.
CustUp vous sensibilise aux enjeux de GDPR
La mise en conformité au GDPR sera la clé de performance future de la Relation Clients et du CRM. Expert en organisation et en exploitation de la donnée clients, CustUp vous accompagne dans la compréhension des enjeux du GDPR et de ses impacts sur votre organisation.
Besoin d'accompagnement ? Rencontrons-nous !