Un programme de mise en conformité au RGPD représente un travail considérable pour un nombre important de fonctions dans l’entreprise. Face à cette charge de travail, à la complexité de l’implémentation de certains principes du RGPD et au nombre important d’acteurs concernés, le risque est de perdre de vue les principaux objectifs et de faire déraper le planning.
Afin d’éviter la réalisation de ce risque, voici quelques clés :
Une feuille de route claire, complète et réaliste et un budget défini
Après la réalisation d’un état des lieux, il est clé de définir une feuille de route avec plusieurs chantiers sans rien oublier et sans être trop ambitieux par rapport au planning. Les actions doivent être priorisées, et elles ne doivent pas toutes commencer en même temps afin d’éviter de se noyer.
La charge associée à chaque chantier doit être évaluée avec le plus de précision possible dès le départ et ne doit pas être sous-évaluée. Ainsi, le budget pourra être déterminé de manière adéquate. Cependant, il est parfois difficile, voire impossible, d’évaluer au début du projet la charge et le coût précis du chantier lié à la mise en œuvre des purges des données personnelles dans les systèmes informatiques. En effet, le déploiement de fonctionnalités de purge dans certains systèmes applicatifs, parfois anciens, peut s’avérer extrêmement complexe et il faut parfois déjà commencer à allouer un budget à l’étude qui permettra de déterminer le coût de la mise en place de la purge.
L’avancement de la feuille de route doit être régulièrement partagé avec la Direction de l’entreprise et les différents acteurs concernés. En effet, la responsabilité ultime de la conformité pèse sur le représentant légal et éventuellement ses délégataires. En outre, des arbitrages sont parfois nécessaires. Il faut donc mettre en place une gouvernance efficace du programme.
Une définition précise des rôles et une collaboration étroite et efficace entre les différents acteurs
De nombreux acteurs au sein de l’entreprise ont un rôle à jouer dans la mise en œuvre de la conformité au RGPD. Leurs rôles et responsabilités doivent être clairement définis au sein d’un RACI (Responsible pour réalisateur – celui qui fait -, Accountable pour responsable, Consulted pour consulté et Informed pour informé).
Une gouvernance passant par la mise en place de comités est clé pour que tous ces intervenants travaillent ensemble de manière cohérente.
Parmi ces acteurs, le « DPO » (Data Privacy Officer) désigné “Délégué à la Protection des Données” dans le RGPD qui joue un rôle de chef d’orchestre de la conformité en matière de protection des données au sein de son organisme doit être au cœur du programme de mise en conformité. Selon les entreprises, le chef de projet RGPD peut être le DPO ; mais il arrive également que le DPO s’appuie sur un chef de projet dédié. Il est en effet souvent difficile pour un DPO de combiner d’une part, l’exercice de son rôle de DPO au quotidien qui est notamment d’informer et de conseiller le responsable de traitement, ainsi que ses employés, sur toute nouvelle initiative impliquant le traitement de données personnelles, de traiter les demandes d’exercice de leurs droits par les personnes concernées et de manière générale, d’être le référent sur toute question relative à la protection des données personnelles, et d’autre part, la gestion de projet RGPD, chacune de ces fonctions constituant bien souvent un travail à temps plein. Mais même en cas de chef de projet RGPD distinct du DPO, le DPO est souvent celui qui va piloter le programme de mise en conformité.
Les autres acteurs principaux sont :
- Le « CDO » (Chief Data Officer) qui est souvent responsable d’implémenter les politiques et les procédures définies par le DPO et qui agit en général en tant que première ligne de défense tandis que le DPO agit en deuxième ligne de défense. Le CDO est en général très sollicité sur la mise en œuvre des programmes de purge des données ;
- La direction informatique, les équipes en charge de la sécurité informatique et les équipes en charge de l’architecture qui assistent le DPO en apportant leur expertise relative aux systèmes d’information ;
- La direction juridique qui fournit l’expertise juridique indispensable, notamment concernant l’interprétation des textes.
Une vision de l’après-projet
Les nouvelles obligations des responsables de traitement et des sous-traitants engendrent sur le long terme un accroissement de la charge de travail. Lorsque le projet de mise en conformité en lui-même prendra fin, une organisation en capacité de gérer les nouvelles tâches devra prendre le relais. L’organisation de l’après-projet doit être anticipée et définie dans le cadre du projet notamment en termes de ressources et le budget.
Nathalie Josseaume
Head of Legal & Compliance
AXA GLOBAL DIRECT France
