GDPR : 4 étapes pour organiser votre mise en conformité
Le Règlement Général sur la Protection des Données (GDPR en anglais, RGPD en français) entrera en vigueur le 25 mai 2018 et s’appliquera à toutes les entreprises qui détiennent ou traitent des données personnelles de citoyens européens. Les entreprises qui ne se conforment pas aux nouvelles obligations nées du GDPR encourent de très lourdes sanctions, comme nous l’avons rappelé dans notre précédent article sur les impacts du GDPR. Par conséquent, il incombe à toutes les entreprises d’entamer une véritable démarche de mise en conformité GDPR.
Le projet de mise en conformité GDPR de votre entreprise s’organise autour de quatre étapes successives :
- La définition du périmètre d’application de la RGPD au sein de votre organisation et l’identification des acteurs clés.
- La réalisation d’un diagnostic général des pratiques actuelles en matière de gestion des données personnelles (collecte, stockage et traitement).
- La hiérarchisation et l’ordonnancement des chantiers à mener, aboutissant à la définition d’un plan d’actions.
- La mise en œuvre progressive des chantiers et actions.
Cet article décrit en détail ces quatre étapes et les actions associées à chacune d’entre elles. Avec notre équipe de consultants en données clients, CustUp stimule les entreprises à entrer dans une démarche de mise en conformité GDPR.
1 – Définir le périmètre d’application et les responsables
Le GDPR fait de plus en plus parler d’elle. Ce nouveau règlement européen vise à renforcer la protection des données personnelles des citoyens européens et à responsabiliser davantage les entreprises qui gèrent ce type de données sur leurs clients, prospects, utilisateurs… Le GDPR impose de nouvelles obligations en matière de traitement des données personnelles, de la collecte à l’utilisation des données, en passant par leur stockage. La première étape de la procédure de mise en conformité consiste à définir le périmètre d’application. Concrètement, cela consiste pour votre entreprise à répertorier l’ensemble des contacts sur lesquels elle collecte, stocke et utilise de la donnée personnelle : les clients, les prospects, les collaborateurs, les prestataires… L’objectif de cet inventaire est d’identifier les données personnelles qui entrent dans le champ d’application du GDPR et qui devront faire l’objet d’une mise en conformité. Pour rappel, le GDPR s’applique à toutes les données à caractère personnel (DCP) permettant d’identifier l’utilisateur, le client, etc… Potentiellement, de très gros volumes de données sont concernés par la mise en conformité. La circoncision du périmètre d’application doit s’accompagner dès le départ :
- De la désignation d’un pilote, appelé DPO – Data Protection Officer. La mise en conformité est un projet transverse qui impacte toutes les dimensions de l’organisation et suppose un pilotage dédié. Le DPO, chef d’orchestre de la mise en conformité, doit être désigné dès le démarrage du projet et impliqué à toutes les étapes du processus. Le DPO peut être intégré à l’entreprise ou externalisé (cabinet d’avocats, société de consulting…).
- De l’identification des responsables des traitements, c’est-à-dire des collaborateurs dans l’entreprise chargés de mettre en œuvre les consignes et process de traitement des données personnelles.
A noter que la DSI a un rôle majeur à jouer, tant au niveau de l’accompagnement que de la mise en œuvre des actions de mise en conformité. Son rôle est déterminant, en particulier, en ce qui concerne les aspects de sécurité de la donnée (chiffrement, pseudonymisation, risque de violation, sécurisation des flux…). Pour bien comprendre le GDPR et ses différents volets, nous vous recommandons la lecture de l’article « L’essentiel à connaître sur le GDPR / RGPD : définition, périmètre, principes et mesures ».
CustUp vous accompagne dans la compréhension des enjeux GDPR
Cabinet de conseil en CRM et Centre de Contacts, nous exploitons la donnée clients au service de la performance commerciale et relationnelle des entreprises avec lesquelles nous travaillons. Nous organisons la donnée clients pour alimenter la Relation Clients : organisation des plans de collecte, structuration des flux de données, priorisation des données… Nous accompagnons les organisations dans la compréhension des enjeux liés à l’entrée en vigueur du règlement GDPR.
Besoin d'accompagnement ? Rencontrons-nous !2 – Faire un état des lieux et diagnostiquer les pratiques actuelles
La deuxième étape consiste à qualifier de manière précise les pratiques actuelles de l’entreprise en matière de collecte, de stockage et de traitement des données personnelles. Il s’agit d’établir une cartographie complète des traitements des données personnelles, en vue de la définition des chantiers de la mise en conformité.
Le diagnostic doit couvrir plusieurs domaines :- Diagnostic des dispositifs de collecte des données : construction d’une cartographie détaillée des données collectées, des modes de collecte et des méthodes de recueil des consentements. Sur ce dernier point et pour rappel, le GDPR oblige les entreprises à recueillir un consentement explicite et « positif » de la part des utilisateurs sur lesquels elles recueillent des données. Le diagnostic des dispositifs de collecte aboutit à une analyse des écarts avec le GDPR et à la mise en évidence des zones de risque par rapport au règlement européen.
- Diagnostic des bases de données et des flux : cartographie des lieux et outils de stockage des données, identification des données stockées et utilisées, mise en évidence des flux de transfert entre les différents lieux de stockage, identification des données susceptibles de soulever des risques…L’objectif est de répertorier toutes les bases de données de stockage et les interactions en vue de la mise en conformité.
- Diagnostic de l’utilisation des données : comment les données collectées et stockées sont-elles utilisées par l’entreprise, et pour quelles finalités internes ou externes ? L’objectif, ici, est d’avoir une vision claire et complète des données utilisées par l’entreprise et de leur finalité.
- Diagnostic sur les règles et consignes de traitement des données : mapping des traitements, identification des règles et procédures mises en place, identification des règles et procédures manquantes ou à documenter. Ce diagnostic est réalisé dans le cadre du Registre des Traitements imposé par le GDPR.
En parallèle de ces quatre diagnostics, un diagnostic sur la sécurité et les process d’archivage/désarchivage devra être réalisé par la DSI. Le GDPR met l’accent sur deux points clés à traiter par la DSI : d’une part la sécurité des données au niveau des bases et des flux (en particulier les mesures de cryptage et d’anonymisation), d’autre part la traçabilité et les pratiques d’archivage / désarchivage. CustUp vous accompagne dans le choix des prestataires en vue de la réalisation des diagnostics GDPR.
3 – Construire le plan d’action
L’ensemble des diagnostics permet d’acquérir une vision claire de la pratique de la donnée au sein de l’entreprise, d’identifier les points forts et les points faibles en vue de la mise en conformité avec le GDPR. A la lumière de ces diagnostics, un plan d’action doit être dessiné. Le plan d’action liste et programme les différentes actions à mener par les acteurs impliqués en vue de la mise en conformité. Son élaboration est l’aboutissement d’ un travail de définition des chantiers, de hiérarchisation et d’ordonnancement. Les chantiers doivent être priorisés en fonction du niveau de risques, comme y invite la CNIL. A cette fin, CustUp conseille la construction d’une matrice de gestion des niveaux d’enjeux et de faisabilité. La mise en conformité GDPR est un projet d’envergure, qui suppose de disposer d’une feuille de route opérationnelle exhaustive et claire. La pertinence de la roadmap a une forte incidence sur l’efficacité et la qualité de la mise en oeuvre des différentes actions de mise en conformité.
4 - Mettre en œuvre les chantiers
La quatrième et dernière étape consiste à déployer les chantiers du plan d’action suivant le calendrier général défini. Dans le cadre de la mise en conformité GDPR, les chantiers concernent toutes les composantes du traitement des données à caractère personnel : leur mode de collecte, leur mode de stockage, les règles de leur utilisation. Pour un déploiement optimal du projet, nous vous recommandons de découper les grands chantiers en sous-chantiers et en actions. Chaque grand chantier doit être de préférence affecté à un responsable opérationnel, qui s’occupe de sa mise en œuvre suivant le planning arrêté. La nature des chantiers est variable d’une organisation à l’autre. Toutefois, certains grands chantiers sont incontournables et concernent toutes les entreprises. Mentionnons notamment :
- La mise aux normes du plan de collecte des données et des modes de recueil des consentements.
- L’élaboration d’un Registre des Traitements, tel que défini dans l’article 30 du Règlement RGPD.
- La création d’un journal des traitements des demandes en lien avec les consentements.
- La sécurisation des données et des flux, ainsi que la mise en place de mesures de traçabilité (archivage / désarchivage). Ce chantier doit être pris en charge par la DSI.
Toutes les entreprises ne seront pas prêtes le 25 mai 2018, jour d’entrée en vigueur du GDPR. Mais, sur ce point, il est à noter que si l’autorité de régulation (en France, la CNIL) sera particulièrement sévère vis-à-vis des organisations qui n’auront initié aucune démarche de mise en conformité, elle sera beaucoup plus clémente envers celles qui ont initié une véritable démarche GDPR, même si elle n’est pas aboutie. Pour conclure, voici un schéma résumant les quatre grandes étapes de mise en conformité :
Antoine Coubray, Directeur du Développement de CustUp, accompagne les entreprises dans la mise en oeuvre de leur politique de données clients.