RGPD : Tout ce que vous devez savoir – Part 2

Présentation du contexte et du dispositif RGPD

4 avril 2019

Le Contexte

L’ensemble des filiales d’Assurance d’un bancassureur de premier plan souhaitait un accompagnement dans la mise en œuvre opérationnelle du règlement RGPD.

Le Groupe est notamment en charge de définir les orientations ou les politiques à mettre en œuvre par les différentes entités qui le composent. Les entités du domaine Assurance ont mis en place une organisation mutualisée pour la direction du projet : le projet est piloté par un Directeur de projet, qui s’appuie sur les responsables du projet au niveau de chacune des entités, et fait également le lien avec les autres filiales ou les directions transversales du Groupe dont ces filiales font partie.

Le Secrétaire Général du groupement des filiales « Assurance » est le sponsor du projet global, chaque entité devant également désigner un sponsor et mettre en place sa gouvernance dédiée.

Les Services Juridiques, les Directions Métiers et les Départements IT des différentes entités jouent un rôle important dans la mise en œuvre de la réglementation au niveau de chaque entité, notamment dans les travaux d’analyse et de conception des adaptations nécessaires.

En particulier, une filiale dédiée à l’IT prend en charge les développements et la mise en œuvre du système d’informations de toutes les filiales assurance, à l’exception de l’une d’elle qui dispose de sa propre DSI.

Le programme RGPD a été découpé en différents chantiers, au niveau transversal comme dans l’ensemble des entités. Chaque chantier est placé sous la responsabilité du service ou du département le plus à même de le piloter (Achats, Services Juridiques, équipes informatiques, CISO, etc.).

Après avoir conduit les travaux préparatoires en 2017 afin de définir la stratégie et les objectifs du projet, principalement au niveau transversal, l’accompagnement devait être mis en place fin 2017 pour permettre une mise en œuvre opérationnelle pour l’entrée en application du RGPD, le 25 mai 2018. Les objectifs du dispositif d’accompagnement étaient donc très ambitieux.

Les Besoins

Le client souhaitait renforcer son dispositif projet selon 3 axes :
1 –  Assister l’entité dédiée à l’IT du périmètre assurantiel en termes de mise en place de gouvernance, pilotage et coordination des efforts IT,
2 – Assister les principales entités françaises du périmètre assurantiel dans la mise en œuvre opérationnelle des principes définis au niveau du Groupe,
3 – Apporter une assistance à la Direction de Programme en termes de méthodologie et de garantie d’une cohérence globale dans l’application de la règlementation.

En termes d’effectifs, le dispositif attendu par le client reposait sur la composition suivante :
• 1 consultant dédié au pilotage des efforts IT au sein de l’entité dédiée à l’IT du périmètre assurantiel, filiale notamment en charge de l’hébergement des applications informatiques.
• Des consultants affectés aux différentes entités françaises du périmètre assurantiel du Groupe soit au sein de Départements IT, soit au sein de Directions métiers. Les niveaux d’intervention attendus variaient en fonction des profils déjà mobilisés au sein des équipes internes.

En termes de niveau d’intervention, il était demandé aux consultants qui composaient le dispositif de :

  • Coordonner et piloter :
    – Assurer le suivi et la coordination des différentes équipes ainsi que la coordination des différents chantiers lorsque ceux-ci présentaient des dépendances,
    – Assurer un suivi global des chantiers, en particulier en assurant la remontée d’informations auprès du pilotage transversal et, le cas échéant, en assurant les comités de pilotage au niveau de l’entité,
    – Mobiliser les équipes internes pour la réalisation de différents livrables pilotes afin de valider ou de compléter l’approche retenue (registre et DPIA, notamment),
    – Prendre en charge la réalisation de feuilles de route, d’expression de besoins.
  • Harmoniser les pratiques et apporter un support méthodologique dans la définition des livrables et des processus transversaux :
    – Proposer un format commun pour les registres des traitements, et finaliser ces registres en échangeant avec les métiers et les équipes IT, le cas échéant en s’appuyant sur des questionnaires afin d’alimenter ces registres,
    – Contribuer à la définition du processus de gestion des demandes d’exercice des droits (droit d’accès, droit d’effacement, etc.),
    – Assister les équipes dans la réalisation de différents livrables et leur apporter les informations nécessaires sur les attentes de la réglementation ou l’approche retenue.
  • Assister à la définition de guidelines en matière réglementaire
    – Être force de proposition et conseiller les clients au regard des exigences de la réglementation ou des approches possibles de la mise en conformité,
    – Assurer une veille réglementaire sur les précisions apportées par la CNIL ou d’autres acteurs de la place et proposer les adaptations correspondantes.
  • Structurer la démarche pour définir et formaliser le plan d’actions
    – Identifier les mesures de remédiation les plus urgentes afin de sécuriser les données ou de se mettre en conformité avec les exigences du RGPD,
    – Définir des actions de conduites du changement.

En résumé, la mission couvrait donc aussi bien des besoins de conseils, de coordination ou de pilotage que des besoins d’assistance plus opérationnelle, de manière à pouvoir produire les livrables nécessaires, soit parce qu’ils étaient requis par la réglementation, soit parce qu’ils étaient essentiels pour documenter et accompagner la mise en conformité.

Profils / Compétences

La collaboration entre Asigma et Quanteam a permis de mobiliser des profils avec :
• Différents niveaux de séniorité (managers, seniors, confirmés et juniors)
• Différents types de compétences (juridique, direction de projets, expertise fonctionnelle, expertise technique)
• Différents types d’expériences autour de sujets réglementaires du domaine bancaire et assurantiel.

Les consultants n’ayant jamais été confrontés au RGPD ou à des problématiques liées à la protection des données personnelles ont été formés aux exigences et aux objectifs principaux de la réglementation par les consultants les plus expérimentés qui ont également tenu le rôle de référents au cours de la mission. De la même manière, les consultants d’Asigma étant déjà intervenu dans le secteur de l’assurance ont pu apporter au dispositif leur expérience dans ce domaine et permettre une montée en charge rapide du dispositif. L’esprit d’équipe, renforcé par l’appartenance des consultants au même cabinet a permis de maximiser les synergies rendues possibles par le dispositif réparti au sein des différentes entités.

La capacité du Groupe Quanteam à intervenir autant sur des missions de conseil en organisation, métier que sur des problématiques IT a permis de proposer un dispositif mixte métier / technique et à même de répondre aux attentes des différentes entités, en couvrant des besoins à dominante soit métier, soit technique. En faisant le choix d’un dispositif réparti sur différentes entités mais recruté auprès d’un seul cabinet, le client a renforcé la fluidité de la collaboration et la mutualisation des actions et des approches lorsque cela était possible.

Le dispositif a été amené à évoluer pour s’adapter en fonction des contextes, chantiers engagés et phases de chaque chantier (cadrage, conception, mise en œuvre, recette, conduite du changement) tout en conservant un socle d’intervenants portant la connaissance de l’historique du projet et endossant des rôles de référents pour :
• Le pilotage IT
• La maîtrise du volet réglementaire
• Le support méthodologique

Les exigences du projet et les contraintes de délais pour produire les premières versions de livrables ont nécessité des qualités d’autonomie, de montée en compétence rapide, des capacités de prise d’initiatives et de responsabilités pour l’ensemble des consultants.

L’animation du dispositif était articulée autour de :
• La constitution de « welcome packs » permettant le transfert de connaissances lors de l’intégration de nouveaux consultants au sein du dispositif,
• La mise en place d’une gouvernance hebdomadaire dédiée réunissant l’ensemble des consultants du cabinet, ceci en complément de la gouvernance déjà mise en place au sein des entités et en transversal,
• Des interactions bilatérales entre consultants intervenant pour le compte de différentes entités et confrontés à des problématiques communes,
• Une communication fluide, une atmosphère conviviale et un esprit d’entraide très fort entre l’ensemble des consultants du dispositif.

Retrouvez dès maintenant les autres parties de notre série d’articles sur le sujet, juste ici !