Sa désignation n'est pas obligatoire [1]. Elle est toutefois recommandée pour une bonne gestion de la collecte et des traitements des données personnelles. Le RGPD introduit un certain nombre de principes et prévoit de nouvelles obligations qui doivent être traduites par un ensemble de processus et il revient au DPO de veiller à leur bonne mise en application. Elle constitue également sans doute un atout concurrentiel pour l'entreprise en ce qu'elle permet notamment de démontrer une certaine vigilance quant à la protection des données des personnes.
Bien qu'aucun diplôme spécifique ne soit exigé [2], le DPO doit avoir une compréhension approfondie du RGPD et des différentes lois applicables en la matière. Or, la pratique a démontré qu'une maîtrise des règles sur les données personnelles est, à elle seule, insuffisante et que le délégué doit faire preuve d'une expertise élevée et d'une certaine créativité. Il doit ainsi pouvoir analyser des problématiques très complexes et faire face à une incertitude juridique importante.
Plus de 3 ans après l'entrée en vigueur du RGPD, il semble que la gestion de la conformité des données personnelles en entreprise n'est pas simple. Comment intégrer les différentes dispositions du RGPD ? Comment sensibiliser les équipes aux règles en la matière ? Comment assurer une conformité effective ? Le DPO doit garantir une conformité de bout en bout, préserver son entreprise contre tout risque et développer une culture de la compliance au sein des équipes.
La gestion de la conformité : un vrai challenge ?
Avant le 25 mai 2018, la protection des données personnelles ne semble pas avoir été abordée au sein de toutes les entreprises d'une manière globale et approfondie.
« La loi de 1978, on l'a depuis très longtemps, et plusieurs principes étaient déjà présents mais étaient assez peu appliqués, voire mal appliqués », déclare Damien LEGOFF, DPO du Groupe Banque Postale.
Bien que dans une certaine mesure, une attention particulière ait été portée à la collecte et au traitement des données, il n'était pas aussi aisé de mettre en pratique les différentes dispositions. Ce n'est qu'avec l'entrée en vigueur du RGPD que la protection des données personnelles a été associée à des procédures internes devant tenir compte de l'ensemble des évènements pouvant subvenir au cours de la vie d'un traitement.
A ce titre, le DPO participe à toutes les questions portant sur les données personnelles et aucun projet ne peut voir le jour sans avoir reçu au préalable l'avis du délégué et avoir été conçu de telle manière à respecter dès la conception les règles légales applicables en la matière.
Or, « intégrer les dispositions du RGPD constitue un vrai challenge », confie Damien LEGOFF.
Le délégué doit notamment être en mesure de conseiller et d'informer le responsable de traitement ou le sous-traitant sur leurs obligations en matière de données personnelles, de contrôler le respect des règles obligatoires, de conseiller concernant l'analyse d'impact relative à la protection des données (AIPD) et de coopérer avec les autorités de contrôle.
Quelle démarche de conformité adopter en 2022 ?
Les responsabilités à la charge de ce délégué sont ainsi considérables et pour pouvoir assurer la conformité de bout en bout, un plan d'action doit être défini en fixant des objectifs et les moyens pour les atteindre. « La première règle qui a été posée, c'est la gouvernance » indique Dominique SOLAU, DPO d'Emil Frey France. Celle-ci concerne principalement la veille sur l'actualité, la prise de conscience des utilisateurs et les processus à mettre en place.
Suivre l'actualité
Pour pouvoir assister et accompagner son entreprise, le DPO doit être à jour des actualités juridiques et techniques touchant à la règlementation sur les données personnelles. Il doit ainsi pouvoir prendre connaissance régulièrement des nouvelles règles légales, pouvoir suivre les recommandations et guides des différentes autorités et surtout pouvoir avoir accès aux prises de position des autorités de contrôle françaises et européennes. Cette veille est indispensable. Elle permet en quelque sorte d'orienter son analyse, le texte légal ne fournissant pas toujours des éléments suffisants pour une mise en œuvre effective. Pour ce faire, il faudrait pouvoir se procurer cette documentation, définir une stratégie pour cette mise à jour et y consacrer le temps nécessaire.
Sensibiliser les collaborateurs
Développer une culture de la privacy au sein de l'entreprise constitue un challenge auquel est confronté tout DPO. Cette règlementation ne concerne pas uniquement l'équipe juridique. Les problématiques étant transversales, l'ensemble des collaborateurs doivent y être associés et y contribuer. Une acculturation de tous les services aux règles sur la protection des données passe certes par leur sensibilisation et leur formation. Or, la tâche n'est point aisée : « je me suis battu pour former tous les collaborateurs », énonce Damien LEGOFF.
A ce titre, le DPO doit faire preuve de bienveillance et de vigilance et surtout ne doit pas semer la peur et créer la panique au sein de l'entreprise : « le marketing de la peur est inefficace », indique Dominique SOLAU. Il faudrait également adapter le discours selon les équipes : « il faut les accompagner ces personnes en leur tenant un discours qui fait qu'elles vont adhérer », précise Dominique SOLAU.
Des tutos et des supports très opérationnels présentant les différentes obligations de manière simple et pragmatique sont d'une grande utilité. En effet, un engagement de tous les métiers de l'entreprise exige une prise de conscience généralisée des collaborateurs quant aux enjeux portant sur les données personnelles. Pour cela, il faudrait « essayer de sortir les collaborateurs de leur activité et les mettre comme consommateurs. C'est la meilleure technique pour faire en sorte qu'ils comprennent les enjeux » précise Damien LEGOFF. Cet engagement implique également de se référer au DPO toutes les fois que la collecte d'une nouvelle donnée ou encore la mise en place d'un nouveau traitement sont prévus.
Cette coopération s'inscrit dans une démarche d'aide et d'assistance. Ainsi, pour que le DPO puisse mener à bien sa mission et assurer la conformité des pratiques à la règlementation, il doit avoir accès à toutes les informations nécessaires. Or, « plus c'est grand, plus c'est compliqué de trouver les sachants qui vont nous donner la réponse », assure Damien LEGOFF.
Mettre en place des processus
Le rôle du DPO pour la mise en place des nouvelles obligations est indéniable. Du fait de son implication dans toutes les étapes des traitements, le DPO conseille et coordonne les actions permettant d'assurer une bonne gestion des données.
Mais comment démarrer ce projet de conformité ? Entamer un projet de conformité peut paraître déstabilisant et générer une angoisse au sein de l'entreprise. Par où commencer ? Comment procéder ? Quelle démarche adopter ? Autant de questions qui peuvent surgir et auxquelles il n'est pas facile d'y répondre.
Concrètement, il faudrait commencer par identifier les différents traitements mis en place au sein de l'entreprise. Cette phase permettra de faire un état des lieux afin de détecter les mesures qui ont été mises en place et celles qui n'ont pas encore été formalisées. Cet inventaire doit notamment porter sur les différents outils utilisés (ERP, CRM…), les contrats mis en place (partenaires, fournisseurs…) ou encore le registre des traitements s'il y en a déjà un. Ce recensement permettra également de classer les données, d'identifier où elles sont stockées, avec qui elles sont partagées et qui y a accès.
Cette étape devrait aussi aboutir à un repérage des zones de vulnérabilité et par conséquent à une identification des points prioritaires. Une bonne organisation de la conformité nécessite aussi « de créer un comité de pilotage et d'embarquer la direction juridique, la direction informatique, les directions métiers, donc toutes les parties prenantes de la mise en œuvre de la conformité », indique Dominique SOLAU. Une stratégie de mise en conformité adaptée permet non seulement de prévoir les actions à mettre en place mais également de suivre ces points d'action.
Cette feuille de route doit ensuite permettre d'attaquer les différents chantiers dont notamment la politique de confidentialité, le règlement intérieur, les contrats, la charte informatique, la gestion des droits des personnes, les mesures de sécurité techniques et organisationnelles ou encore la collecte du consentement. Ceci n'est pas simple : « il a fallu renforcer tous les process de collecte du consentement et au-delà l'enregistrement dans les systèmes et s'assurer de la cohérence avec ce qui a été coché sur les cases », précise Dominique SOLAU.
Les KPI ou comment évaluer la performance du privacy plan ?
La conformité n'est pas statique. Elle se construit progressivement et évolue en fonction des traitements. Des alertes doivent ainsi être mises en place pour surveiller notamment le cycle de vie des données, les durées de conservation et la concordance des finalités. Une revue régulière des procédures est aussi indispensable. Il faudrait analyser régulièrement les résultats et mettre à jour la démarche le cas échéant.
Or, mesurer la performance du privacy plan peut être en soi un défi. Il revient à l'entreprise de contrôler en quelque sorte sa propre conformité et d'examiner l'atteinte de ses objectifs. Des indicateurs clés de performance contribuent à mesurer l'efficacité de la démarche suivie. Sans ces indicateurs, les objectifs ne peuvent être évalués et la démarche ne peut être améliorée.
Quels sont ces indicateurs clés ? Comment s'assurer que les mesures mises en place sont suffisantes et adaptées ?
Pour pouvoir se prémunir efficacement contre les risques et mesurer le niveau d'efficacité de la stratégie, il est possible de se baser sur des chiffres ou encore sur le taux d'avancement des travaux. En termes de chiffres, ces indicateurs portent sur le nombre de formations assurées aux collaborateurs en matière de données personnelles, le nombre de plaintes de personnes concernées, le nombre de PIA mis en place au vu du nombre d'analyses d'impact devant être réalisées, le nombre de violations de données ayant eu lieu, le nombre de demandes d'exercice de droits reçues et le taux des demandes d'exercice de droit traitées. D'autres indicateurs peuvent être utilisés à l'instar du temps mis pour répondre aux demandes des personnes concernées, du taux d'avancement des PIA, de la notification dans les temps des autorités en cas de violation de données, du taux d'achèvement du registre des traitements, des résultats des audits effectués en matière de sécurité ou encore du taux de respect du calendrier prévu.
Ces KPI fournissent des éléments clés dans la mesure de la performance de l'entreprise dans la mise en œuvre de son programme de privacy. Les résultats obtenus peuvent permettre notamment d'identifier les points d'amélioration. Leur formalisation sous la forme de rapports est indispensable pour la redéfinition des objectifs.
Ces résultats peuvent également faire l'objet d'un compte rendu à présenter à la direction lors de réunions dédiées. Cette implication de la direction dans les problématiques liées aux données personnelles est indispensable. Elle permet d'une part d'épauler le DPO et d'autre part d'allouer le budget et les ressources nécessaires pour garantir la conformité des données au sein de l'entreprise.
Faire preuve de vigilance
Suivi des plans d'action, mises à jour de la feuille de route, organisation de réunions mensuelles, production de rapports annuels/hebdomadaires, suivi des indicateurs liés au nombre de violations, au nombre des demandes d'exercice des droits, et à bien d'autres éléments, autant d'actions auxquelles devrait veiller tout DPO. « C'est en traitant les réclamations clients qu'on arrive à une meilleure conformité RGPD », note Damien LEGOFF.
Une assiduité et une vigilance continues devraient permettre de mener à bien ce projet de conformité et de se préparer à un contrôle éventuel de la CNIL. « On a mis en place une procédure et on l'a envoyée à tous les accueils des différents secteurs », confie Damien LEGOFF. « La priorité c'est d'avoir un registre des traitements présentable c'est-à-dire qu'on soit dans la capacité de démontrer ce qui a été fait », assure Dominique SOLAU.
Bien qu'aucun diplôme spécifique ne soit exigé [2], le DPO doit avoir une compréhension approfondie du RGPD et des différentes lois applicables en la matière. Or, la pratique a démontré qu'une maîtrise des règles sur les données personnelles est, à elle seule, insuffisante et que le délégué doit faire preuve d'une expertise élevée et d'une certaine créativité. Il doit ainsi pouvoir analyser des problématiques très complexes et faire face à une incertitude juridique importante.
Plus de 3 ans après l'entrée en vigueur du RGPD, il semble que la gestion de la conformité des données personnelles en entreprise n'est pas simple. Comment intégrer les différentes dispositions du RGPD ? Comment sensibiliser les équipes aux règles en la matière ? Comment assurer une conformité effective ? Le DPO doit garantir une conformité de bout en bout, préserver son entreprise contre tout risque et développer une culture de la compliance au sein des équipes.
La gestion de la conformité : un vrai challenge ?
Avant le 25 mai 2018, la protection des données personnelles ne semble pas avoir été abordée au sein de toutes les entreprises d'une manière globale et approfondie.
« La loi de 1978, on l'a depuis très longtemps, et plusieurs principes étaient déjà présents mais étaient assez peu appliqués, voire mal appliqués », déclare Damien LEGOFF, DPO du Groupe Banque Postale.
Bien que dans une certaine mesure, une attention particulière ait été portée à la collecte et au traitement des données, il n'était pas aussi aisé de mettre en pratique les différentes dispositions. Ce n'est qu'avec l'entrée en vigueur du RGPD que la protection des données personnelles a été associée à des procédures internes devant tenir compte de l'ensemble des évènements pouvant subvenir au cours de la vie d'un traitement.
A ce titre, le DPO participe à toutes les questions portant sur les données personnelles et aucun projet ne peut voir le jour sans avoir reçu au préalable l'avis du délégué et avoir été conçu de telle manière à respecter dès la conception les règles légales applicables en la matière.
Or, « intégrer les dispositions du RGPD constitue un vrai challenge », confie Damien LEGOFF.
Le délégué doit notamment être en mesure de conseiller et d'informer le responsable de traitement ou le sous-traitant sur leurs obligations en matière de données personnelles, de contrôler le respect des règles obligatoires, de conseiller concernant l'analyse d'impact relative à la protection des données (AIPD) et de coopérer avec les autorités de contrôle.
Quelle démarche de conformité adopter en 2022 ?
Les responsabilités à la charge de ce délégué sont ainsi considérables et pour pouvoir assurer la conformité de bout en bout, un plan d'action doit être défini en fixant des objectifs et les moyens pour les atteindre. « La première règle qui a été posée, c'est la gouvernance » indique Dominique SOLAU, DPO d'Emil Frey France. Celle-ci concerne principalement la veille sur l'actualité, la prise de conscience des utilisateurs et les processus à mettre en place.
Suivre l'actualité
Pour pouvoir assister et accompagner son entreprise, le DPO doit être à jour des actualités juridiques et techniques touchant à la règlementation sur les données personnelles. Il doit ainsi pouvoir prendre connaissance régulièrement des nouvelles règles légales, pouvoir suivre les recommandations et guides des différentes autorités et surtout pouvoir avoir accès aux prises de position des autorités de contrôle françaises et européennes. Cette veille est indispensable. Elle permet en quelque sorte d'orienter son analyse, le texte légal ne fournissant pas toujours des éléments suffisants pour une mise en œuvre effective. Pour ce faire, il faudrait pouvoir se procurer cette documentation, définir une stratégie pour cette mise à jour et y consacrer le temps nécessaire.
Sensibiliser les collaborateurs
Développer une culture de la privacy au sein de l'entreprise constitue un challenge auquel est confronté tout DPO. Cette règlementation ne concerne pas uniquement l'équipe juridique. Les problématiques étant transversales, l'ensemble des collaborateurs doivent y être associés et y contribuer. Une acculturation de tous les services aux règles sur la protection des données passe certes par leur sensibilisation et leur formation. Or, la tâche n'est point aisée : « je me suis battu pour former tous les collaborateurs », énonce Damien LEGOFF.
A ce titre, le DPO doit faire preuve de bienveillance et de vigilance et surtout ne doit pas semer la peur et créer la panique au sein de l'entreprise : « le marketing de la peur est inefficace », indique Dominique SOLAU. Il faudrait également adapter le discours selon les équipes : « il faut les accompagner ces personnes en leur tenant un discours qui fait qu'elles vont adhérer », précise Dominique SOLAU.
Des tutos et des supports très opérationnels présentant les différentes obligations de manière simple et pragmatique sont d'une grande utilité. En effet, un engagement de tous les métiers de l'entreprise exige une prise de conscience généralisée des collaborateurs quant aux enjeux portant sur les données personnelles. Pour cela, il faudrait « essayer de sortir les collaborateurs de leur activité et les mettre comme consommateurs. C'est la meilleure technique pour faire en sorte qu'ils comprennent les enjeux » précise Damien LEGOFF. Cet engagement implique également de se référer au DPO toutes les fois que la collecte d'une nouvelle donnée ou encore la mise en place d'un nouveau traitement sont prévus.
Cette coopération s'inscrit dans une démarche d'aide et d'assistance. Ainsi, pour que le DPO puisse mener à bien sa mission et assurer la conformité des pratiques à la règlementation, il doit avoir accès à toutes les informations nécessaires. Or, « plus c'est grand, plus c'est compliqué de trouver les sachants qui vont nous donner la réponse », assure Damien LEGOFF.
Mettre en place des processus
Le rôle du DPO pour la mise en place des nouvelles obligations est indéniable. Du fait de son implication dans toutes les étapes des traitements, le DPO conseille et coordonne les actions permettant d'assurer une bonne gestion des données.
Mais comment démarrer ce projet de conformité ? Entamer un projet de conformité peut paraître déstabilisant et générer une angoisse au sein de l'entreprise. Par où commencer ? Comment procéder ? Quelle démarche adopter ? Autant de questions qui peuvent surgir et auxquelles il n'est pas facile d'y répondre.
Concrètement, il faudrait commencer par identifier les différents traitements mis en place au sein de l'entreprise. Cette phase permettra de faire un état des lieux afin de détecter les mesures qui ont été mises en place et celles qui n'ont pas encore été formalisées. Cet inventaire doit notamment porter sur les différents outils utilisés (ERP, CRM…), les contrats mis en place (partenaires, fournisseurs…) ou encore le registre des traitements s'il y en a déjà un. Ce recensement permettra également de classer les données, d'identifier où elles sont stockées, avec qui elles sont partagées et qui y a accès.
Cette étape devrait aussi aboutir à un repérage des zones de vulnérabilité et par conséquent à une identification des points prioritaires. Une bonne organisation de la conformité nécessite aussi « de créer un comité de pilotage et d'embarquer la direction juridique, la direction informatique, les directions métiers, donc toutes les parties prenantes de la mise en œuvre de la conformité », indique Dominique SOLAU. Une stratégie de mise en conformité adaptée permet non seulement de prévoir les actions à mettre en place mais également de suivre ces points d'action.
Cette feuille de route doit ensuite permettre d'attaquer les différents chantiers dont notamment la politique de confidentialité, le règlement intérieur, les contrats, la charte informatique, la gestion des droits des personnes, les mesures de sécurité techniques et organisationnelles ou encore la collecte du consentement. Ceci n'est pas simple : « il a fallu renforcer tous les process de collecte du consentement et au-delà l'enregistrement dans les systèmes et s'assurer de la cohérence avec ce qui a été coché sur les cases », précise Dominique SOLAU.
Les KPI ou comment évaluer la performance du privacy plan ?
La conformité n'est pas statique. Elle se construit progressivement et évolue en fonction des traitements. Des alertes doivent ainsi être mises en place pour surveiller notamment le cycle de vie des données, les durées de conservation et la concordance des finalités. Une revue régulière des procédures est aussi indispensable. Il faudrait analyser régulièrement les résultats et mettre à jour la démarche le cas échéant.
Or, mesurer la performance du privacy plan peut être en soi un défi. Il revient à l'entreprise de contrôler en quelque sorte sa propre conformité et d'examiner l'atteinte de ses objectifs. Des indicateurs clés de performance contribuent à mesurer l'efficacité de la démarche suivie. Sans ces indicateurs, les objectifs ne peuvent être évalués et la démarche ne peut être améliorée.
Quels sont ces indicateurs clés ? Comment s'assurer que les mesures mises en place sont suffisantes et adaptées ?
Pour pouvoir se prémunir efficacement contre les risques et mesurer le niveau d'efficacité de la stratégie, il est possible de se baser sur des chiffres ou encore sur le taux d'avancement des travaux. En termes de chiffres, ces indicateurs portent sur le nombre de formations assurées aux collaborateurs en matière de données personnelles, le nombre de plaintes de personnes concernées, le nombre de PIA mis en place au vu du nombre d'analyses d'impact devant être réalisées, le nombre de violations de données ayant eu lieu, le nombre de demandes d'exercice de droits reçues et le taux des demandes d'exercice de droit traitées. D'autres indicateurs peuvent être utilisés à l'instar du temps mis pour répondre aux demandes des personnes concernées, du taux d'avancement des PIA, de la notification dans les temps des autorités en cas de violation de données, du taux d'achèvement du registre des traitements, des résultats des audits effectués en matière de sécurité ou encore du taux de respect du calendrier prévu.
Ces KPI fournissent des éléments clés dans la mesure de la performance de l'entreprise dans la mise en œuvre de son programme de privacy. Les résultats obtenus peuvent permettre notamment d'identifier les points d'amélioration. Leur formalisation sous la forme de rapports est indispensable pour la redéfinition des objectifs.
Ces résultats peuvent également faire l'objet d'un compte rendu à présenter à la direction lors de réunions dédiées. Cette implication de la direction dans les problématiques liées aux données personnelles est indispensable. Elle permet d'une part d'épauler le DPO et d'autre part d'allouer le budget et les ressources nécessaires pour garantir la conformité des données au sein de l'entreprise.
Faire preuve de vigilance
Suivi des plans d'action, mises à jour de la feuille de route, organisation de réunions mensuelles, production de rapports annuels/hebdomadaires, suivi des indicateurs liés au nombre de violations, au nombre des demandes d'exercice des droits, et à bien d'autres éléments, autant d'actions auxquelles devrait veiller tout DPO. « C'est en traitant les réclamations clients qu'on arrive à une meilleure conformité RGPD », note Damien LEGOFF.
Une assiduité et une vigilance continues devraient permettre de mener à bien ce projet de conformité et de se préparer à un contrôle éventuel de la CNIL. « On a mis en place une procédure et on l'a envoyée à tous les accueils des différents secteurs », confie Damien LEGOFF. « La priorité c'est d'avoir un registre des traitements présentable c'est-à-dire qu'on soit dans la capacité de démontrer ce qui a été fait », assure Dominique SOLAU.
Autres articles
-
EQS Group entre en négociations exclusives pour l'acquisition de Data Legal Drive
-
Data Legal Drive révolutionne la conformité RGPD avec l’IA
-
Comment anticiper et gérer un contrôle de la CNIL ?
-
Baromètre RGPD 2022 : 1 entreprise sur 2 se prépare à un contrôle de la CNIL
-
DS Avocats s’appuie sur Data Legal Drive pour lancer une offre digitale de conformité RGPD