DossierRGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données
6 - Retroplanning: 5 étapes pour être en conformité d'ici mai 2018
La mise en conformité avec le RGPD nécessite d'organiser un véritable "big bang" de la data au sein de son organisation, qui impactera tous les services touchant aux données personnelles. Romain Maillard, senior manager BDO, dresse les étapes et le timing les plus pertinents pour les PME et ETI.
Nota bene: la construction de la trajectoire de mise en conformité dépendra évidemment du degré de maturité et de l'exposition de chaque organisation. Aussi, il sera judicieux de commencer par réaliser un état des lieux, et de dessiner la feuille de route correspondante qui recensera les chantiers prioritaires, en termes d'organisation, de processus de traitement et de process liés aux droits des personnes.
Ici, dans l'optique de parler au plus grand nombre, nous avons construit un chronogramme en partant d'un degré de maturité faible.
Étape 1 - Durée: 1 mois - Structurer le projet, nommer les acteurs-clés, définir les jalons
Au plus vite, il s'agira de structurer la mise en conformité. L'organisation devra désigner un coordinateur (le délégué à la protection des données) et devra allouer au projet les moyens humains et financiers nécessaires pour en assurer la réussite.
Le coordinateur définira les acteurs-clés (responsable juridique, responsable SI, responsable métiers - direction commerciale et marketing etc.) et attribuera les responsabilités de chacun. Les principaux jalons devront être fixés et les ateliers des étapes 2 et 3 planifiés.
Étape 2 - Durée: 3 mois - Cartographier les traitements de données personnelles, analyser la conformité de ces traitements et les risques associés
La tenue d'un registre des traitements mis en oeuvre dans l'entreprise est une des clés de voute du Règlement. Afin d'élaborer ce registre, les acteurs devront lister pour chaque traitement de données personnelles:
- la finalité du traitement (les objectifs poursuivis);
- la nature des données traitées;
- les acteurs internes et externes qui traitent ces données;
- la localisation de ces données;
- les flux amont et aval (l'origine et la destination);
- les temps de conservation;
- le volume.
Pour apprécier la criticité de ces traitements, on se posera entre autres deux questions:
- Les données récoltées nécessitent-elles une vigilance accrue au regard du règlement (exemples: données de santé, de données biométriques, d'opinions politiques, données traitées de façon systématique aboutissant au profilage etc.)?
- Les données récoltées sont-elles strictement nécessaires à la poursuite des objectifs (principe de minimisation)?
Une fois les traitements à risque identifiés, il s'agira d'évaluer si les dispositifs de maîtrise de ces risques sont appropriés. On recensera les mesures de sécurité mises en place pour protéger notamment la confidentialité et l'intégrité des données, mais également les dispositions existantes pour respecter les exigences du Règlement relatives aux droits et libertés des personnes concernées.
Étape 3 - Durée: 3 mois - Évaluer le niveau de conformité de vos processus internes
Il conviendra ensuite de définir finement les actions à entreprendre sur 5 grands volets.
- Le Règlement renforce le droit à l'information et le consentement des personnes. Les modalités d'information et de collecte des données personnelles devront être revues en ce sens.
- Le RGPD crée également de nouveaux droits (droit à la portabilité, à la limitation, à l'oubli), qui viennent s'ajouter à plusieurs droits préexistants (droits d'accès, d'opposition, de rectification). Les process de traitement doivent être mis à jour pour que les personnes puissent exercer correctement leurs droits.
- En outre, les process de gestion de crise devront être ajustés pour anticiper les violations de données (data breach).
- Le principe de "privacy by design" devra être incorporé aux procédures de gouvernance projet, i.e. définir les besoins et mesures de protection des données dès la phase de conception d'un nouvel outil ou d'une nouvelle application.
- Enfin, l'entreprise devra articuler ses actions de sensibilisation à travers un plan de formation.
Étape 4 - Durée: 4 mois - Déployer les plans de remédiations définis lors des étapes 2 et 3
En parallèle de la modification des processus internes, le renforcement des mesures de sécurité pourra conduire à une réflexion quant à la mise en place d'outils technologiques, que ce soit dans le cadre de l'identification des données sensibles, de la protection des données à travers des outils de chiffrement, de pseudonymisation, d'anonymisation, ou de la détection de data breach.
Étape 5 - Durée: 3 mois - Valider la conformité de l'organisation vis-à-vis du Règlement
Au début du mois de mars 2018, il sera judicieux de rebalayer l'ensemble des exigences du RGPD et de recenser les écarts potentiels entre celles-ci et les procédures et mesures effectivement en place.
Les deux mois précédant la date butoir pourront être consacrés au déploiement des correctifs additionnels éventuels.
L'auteur
Romain Maillard, senior manager BDO
Romain Maillard est senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne, et intervient sur de nombreux sujets liés à la compliance. Romain apporte également son expertise dans le cadre de la structuration de dispositifs de lutte anti-fraude et conduit des missions d'investigations en exploitant les données comptables et financières. Romain est Certified Fraud Examiner et diplômé de Neoma (ESC Rouen).
Pour aller plus loin: "3 solutions pour être RGPD compatible le 25 mai 2018"