L’application du Règlement sur la protection des données est en vigueur depuis mai 2018. Les entreprises doivent désormais être “RGPD compliant”. Le Groupe Sigma a joué la carte du collectif : il a déployé une « Task Force » de quinze collaborateurs volontaires, chargés à la fois de diffuser l’information et d’accompagner les sociétés du Groupe à la mise en conformité. Une initiative pensée pour casser les silos et impliquer toutes les fonctions métiers. À mesure que la date approche, le 25 mai 2018, Fabien Trouvé prend conscience du chantier « tentaculaire » que représente le Règlement général sur la protection des données (RGPD). Il faut à la fois analyser le traitement et la protection des données, mettre en place des mesures techniques et organisationnelles adéquates mais aussi former les collaborateurs. « Le RGPD est l’affaire de tous. Il impacte tous les niveaux d’une entreprise, quelle que soit sa taille », introduit le responsable sécurité du système d’information (RSSI).
15 volontaires et 16 chantiers
Avec le juriste et Data Protection Officer (1), ils ont retroussé leurs manches dès 2016 afin de mettre l’entreprise en conformité quant au nouveau règlement. La première phase a été celle du « pourquoi » :
- Audit et analyse des traitements
- Début de mise en conformité des logiciels
La phase du « comment » a suivi. « Nous avons d’emblée voulu impliquer des collaborateurs de différents services ». Chargé de marketing, architecte logiciel, directeur du système d’information, chef de projet digital, développeur, chargé d’assistance… chacun a apporté sa pierre à l’édifice. L’équipe de 15 volontaires de la « Task Force » veille à faire une priorité du traitement et de la protection des données. En juin 2017, ces sentinelles sont montées en puissance. L’accompagnement du cabinet Lexing, sur sept modules, leur a permis de mieux appréhender un sujet complexe au premier abord.
La certification ISO 27001 et l’agrément HADS (hébergeur de données de santé) que possède le Groupe Sigma, via ses activités d’hébergeur et d’infogéreur, étaient déjà l’assurance de hautes exigences de sécurité (au sens des « Privacy by design » et « Security by default » pour reprendre les postulats du RGPD).
Pour autant, la conduite du changement à mettre en œuvre pour la mise en conformité RGPD, induisait une logique de responsabilisation encore plus poussée des différents acteurs de l’entreprise. Il faut par exemple être vigilant quant aux garanties offertes aux clients en matière de protection des données mais aussi celles proposées par les sous-traitants et les fournisseurs pour protéger les données personnelles.
Une politique d’Accountability
Au travers de 16 chantiers identifiés, la Task Force capitalise sur les bonnes pratiques. Par exemple, le chantier « achats » se concentre sur la collecte d’informations auprès des fournisseurs (contrats d’achat, clauses de protection de données…). Les ambassadeurs écoutent les questions, désamorcent les inquiétudes, apportent des réponses, font des recommandations. Petit à petit, ils décloisonnent le Groupe Sigma autour d’un sujet commun. Ces alliances et cette coopération transversale de différents métiers, au-delà des silos naturels, apportent une valeur ajoutée à l’entreprise. Elles permettent de consolider les réflexions, la mise en place de bonnes pratiques et un cadre commun par le biais de politiques et procédures permettant de démontrer le respect des exigences réglementaires applicables à la protection des données. Autre conséquence des chantiers, elles accélèrent la transformation digitale du Groupe Sigma et enrichissent la culture RGPD en vue de la formation planifiée, en avril 2018, de l’ensemble des collaborateurs. « Temps, ressources, budgets nécessaires : le RGPD, porté par la direction, nous amène à réfléchir aussi à l’après 25 mai », précise Fabien Trouvé. Faudra-t-il une cellule dédiée, ne serait-ce que pour tenir la revue de conformité permanente et documentée ? Ou tout simplement pour répondre aux individus, en droit de contester, rectifier, effacer leurs données.
(1) Le Data Protection Officer, délégué à la protection des données, peut être mutualisé et/ou externalisé. Ses missions : conseiller, contrôler le respect du règlement, coopérer avec les autorités de contrôle…
À lire également
Pour en savoir plus, consultez nos autres articles, livres blancs et webinaires.
Transformation numérique
RGPD : quels changements pour l’individu et l’entreprise ?Transformation numérique
RGPD : responsable de traitement et sous-traitant, les données personnelles au centre