L’implémentation des exigences du RGPD : un sujet de conduite du changement.

L’implémentation des exigences du RGPD : un sujet de conduite du changement.

Règlement Général sur la Protection des Données, Kézako ?

Le Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Reglementation (GDPR) est entré en vigueur en 2016 et sera applicable dès le 25 mai 2018.

A partir de cette date, toutes les organisations publiques ou privées, européennes ou internationales devront être conformes à cette nouvelle réglementation.

En matière de protection des données, la France est un des pays précurseurs[1] puisqu’en 1978, naissait la Loi Informatique et Libertés dont est partiellement inspiré ce règlement.

Néanmoins, le Règlement Général sur la Protection des Données intensifie ce cadre réglementaire puisqu’il met en lumière de nouvelles obligations pour les entreprises et de nouveaux droits pour les individus.

De nouvelles obligations pour les entreprises, touchant de nouveaux acteurs

La tenue d’un registre des traitements, la nomination d’un Délégué à la Protection des Données ou encore la notion de co-responsabilité du responsable de traitement et du sous-traitant sont, par exemple, des concepts novateurs, présentés comme concepts phares du RGPD en termes d’obligations des entreprises.

Certaines de ces missions mobilisent un nombre limité d’interlocuteurs au sein d’une organisation. Ces acteurs étaient généralement déjà impliqués dans le cadre des actions imposées par la LIL comme, par exemple, dans la mise en place et la tenue d’un registre des traitements.

D’autres mobilisent une plus grande diversité de métiers. C’est notamment le cas de la mise en place de la protection des donnés dès la conception, ou Privacy by Design impliquant des chefs de projet, des équipes techniques ou encore des équipes marketing (parcours client).

Néanmoins, les obligations pour les entreprises ne se limitent pas aux seules citées dans le Règlement dont il est question. Les nouveaux droits des individus impactent les métiers. Ces impacts ont été considérés initialement et à tort comme simples à implémenter.

La Loi Informatique et Libertés, doublée de la directive 95/46/CE du Parlement européen et du Conseil ont instauré quatre droits que sont le droit d’accès, le droit d’opposition, le droit de rectification et le droit à l’effacement. Le RGPD vient y ajouter le droit à la limitation, le droit à la portabilité et le droit à l’oubli.

C’est dans l’implémentation de ces nouveaux droits que réside l’un des écueils de la mise en application du RGPD.

L’implémentation de nouveaux droits : une évolution des processus, des systèmes et des procédures

L’implémentation du droit à l’oubli, du droit à la limitation et du droit à la portabilité contraint à une évolution des systèmes d’information, une transformation des processus et une modification des procédures existantes. De cette transformation résulte nécessairement une adaptation des gestes métiers. Un travail d’implémentation avec l’ensemble des collaborateurs est donc indispensable pour atteindre le seuil de conformité exigé par le règlement.

Comment intégrer le traitement des demandes d’exercice de ces droits dans les processus existants ? Quels sont les impacts métiers au quotidien ? L’implémentation dans les systèmes d’information nécessite-t-elle une transformation de ces systèmes ? Ce sont autant de questions qu’une organisation est amenée à se poser dans la mise en œuvre de cette nouvelle réglementation en son sein.

Pour y répondre certaines entreprises ont pris le parti de constituer de nouvelles équipes dont la vocation unique est de traiter ces demandes, tant d’un point de vue fonctionnel que d’un point de vue opérationnel. D’autres s’appuient sur les processus existants et révisent les rôles des acteurs pour les adapter aux exigences du RGPD. Le choix est fonction de la stratégie de l’entreprise.

Par ailleurs, l’émergence de nouveaux droits et, ici, le renforcement des droits existants impactent tout autant les systèmes d’information. L’exemple du droit à l’oubli met réellement en exergue ces impacts. Quand, par la LIL une organisation se devait d’effacer, sans plus de précision, les données à caractère personnel de la personne concernée, on pouvait considérer qu’il lui suffisait d’en gommer les traces sur la toile. Avec le droit à l’oubli, c’est désormais une suppression des données dans la totalité des SI à laquelle doit s’astreindre cette même organisation. L’ensemble des acteurs techniques sont donc mobilisés dans l’implémentation des nouveaux droits.

Le traitement de l’exercice des droits est complexe. Bien que certaines entreprises souhaiteraient le voir être automatisé, il est aujourd’hui traité par l’homme. Les évolutions de processus et de systèmes d’information ont, par l’intermédiaire des procédures, un impact sur l’homme et sur ses gestes métiers.

Lorsqu’il est question d’évolutions de processus, de SI et de procédures, il est aussi question d’évolution de gestes métiers. Qu’il s’agisse d’acheteurs, de conseillers de clientèle, de commerciaux, de chargés de marketing, etc. tous les acteurs de l’entreprises sont concernés.

Une nouveauté pour les individus traitée par un individu : l’accompagnement du changement perçu comme indispensable

Chaque métier au sein d’une organisation a ses spécificités et l’implémentation du RGPD est différente pour chacun des services d’une entreprise. Les impacts sont différents si l’on est développeur, conseiller clientèle, acheteur, etc. Accompagner chaque métier dans la compréhension du règlement, dans son implémentation au sein du service et dans sa traduction opérationnelle est donc indispensable pour assurer la bonne mise en application au sein de votre entreprise.

Pour ce faire, il est nécessaire d’adopter une forme de communication non anxiogène, accessible à tous et en amont de la mise en application du dit règlement. Cela peut se traduire notamment par la publication de Newsletters internes. Mais la communication ne suffit pas. Le collaborateur souhaitera rapidement connaître ce qui, concrètement, va évoluer dans ses gestes quotidiens.

Pour répondre à ce besoin, il est recommandé de procéder à une phase de sensibilisation adressant les quelques points clés par métiers et de façon ciblée.

Enfin, si les impacts métiers sont réellement significatifs, la phase de formation est incontournable. Elle peut être déployée en présentiel ou sous forme de e-learning.

Accompagner ce changement est un exercice complexe qui requière une expertise tant en termes de communication qu’en termes de formation.

[1] Avec la Loi Informatique et Libertés, la CNIL est l’une des premières Autorités Administratives Indépendantes en matière de protection des données, créée en Europe.

Pour toute demande d’informations, merci de contacter :

Alexandre Penaud