RGPD : Tout ce que vous devez savoir – Part 3

La mise en œuvre et les analyses des KSF

16 avril 2019

Mise en œuvre : Les chantiers

Le graphique suivant précise les chantiers qui ont été définis pour mettre en œuvre les évolutions nécessaires, et illustre les dépendances principales entre eux :

La mise en œuvre des chantiers s’est déroulée en 2 périodes :
• La période allant de début janvier au 25 mai avec un objectif de production de livrables en réponse à des priorités définies par les risques,
• La période post 25 mai avec des objectifs de maturation, de déploiement / transformation et d’industrialisation.

Ainsi, pour la période antérieure au 25 mai, les priorités fixées étaient les suivantes :
• Au niveau des entités :
La communication client, notamment avec la mise à jour de l’ensemble des courriers et sites internet,
– La mise à jour des dispositifs en charge des demandes d’exercice de droits, notamment avec la mise en place d’extractions de données à partir des solutions infocentres,
– La formalisation de registres de traitements et fiches détaillées représentatifs de l’ensemble des activités manipulant des DCPs et le niveau de couverture des traitements par les déclarations CNIL existantes,
– Le cadrage des DPIA et l’identification de remédiations spécifiques et la définition d’un plan d’actions.

• Au niveau transversal – périmètre assurantiel :
– La mise en place de la fonction du Délégué à la Protection des Données (DPD),
– La revue des contrats sous-traitants,
– L’animation d’ateliers transversaux sur l’ensemble des chantiers engagés.

• Au niveau transversal – périmètre Groupe :
– La formalisation de notes techniques de conformité relatives à l’ensemble des chantiers,
– La documentation contenant la définition des nouveaux rôles, notamment DPD et RT,
– Des actions de communication via la diffusion de vidéos, articles et interviews sur l’intranet Groupe,
– Au niveau IT, la sensibilisation des chefs de projets afin de prendre en compte la réglementation dans les projets en cours.

Les efforts engagés durant cette première période ont permis notamment de :
• Formaliser des registres de traitements avec une documentation détaillée pour l’ensemble des entités,
• Mettre à jour l’ensemble des courriers clients et sites internet qui ne nécessitent pas d’intervention informatique « lourde »,
• Gérer les demandes d’exercices de droits avec une traçabilité accrue et une interaction entre les équipes en charge et le DPD.

Les actions engagées depuis le 25 mai poursuivent les objectifs suivants :

• Au niveau transversal-périmètre assurantiel :
– La déclinaison des notes techniques de conformité émises au niveau Groupe,
– La formalisation de guides pratiques (ex. : règles de bonnes pratiques sur la protection des données à l’attention des collaborateurs, manuel sur la gestion des demandes d’exercices de droits) avec des actions de présentation/formation associées selon les cas,
– La définition de modules de formation dédiées à déployer pour l’ensemble des collaborateurs,
– Le déploiement du dispositif RGPD avec notamment la définition de nouveaux rôles (ex. : correspondants DPD) au sein du périmètre assurantiel et la préparation du transfert de connaissances de l’équipe projet vers les équipes internes,
– La coordination de chantiers d’homogénéisation de pratiques et de mutualisation des efforts (ex. : politiques d’archivage et de purge),
– Tester le dispositif de gestion de crise,
– La poursuite des travaux engagés sur la revue des contrats sous-traitants.

• Au niveau des entités :
– La poursuite des travaux engagés nécessitant une intervention informatique « lourde »
– La poursuite de la validation et l’appropriation des livrables (notamment registres, fiches détaillées et DPIA) par les métiers via une conduite du changement menée auprès d’interlocuteurs internes désignés au sein des équipes,
 L’accompagnement des actions de conduite du changement au sein des différents départements et services (communication, formations, guide d’utilisation et mise en place de procédures),
– L’assistance métiers sur des cas spécifiques (ex. : analyse de recevabilité en cas de demandes d’exercice de droits, assistance aux services confrontés à des demandes d’envoi de données personnelles vers des partenaires…),
– La prise en compte de l’atterrissage de projets et évolutions d’activité dans les différents livrables déjà produits (ex. : registres et fiches détaillées)
– L’approfondissement des analyses avec la prise en compte des applications de proximité

Analyse des facteurs clés de succès et retour d’expérience

Au-delà des facteurs clés de succès communs à la gestion de projets en général (sponsorship fort, gouvernance structurée, ressources et compétences mobilisées, cadrage des sujets bien abouti et feuille de route/priorités claires), la mise en œuvre du RGPD comporte certains challenges spécifiques :

• Une bonne capacité à appréhender les entités juridiques et les relations entre ces entités (partenaires, sous-traitants…) et le niveau de formalisation de ces relations (ex. : clauses au sein de conventions, accords de sous-traitance),
• Une bonne capacité à établir des liens de cohérence entre les livrables et les chantiers. On peut citer à titre d’exemple :
– Les durées de conservation qui impactent à la fois la communication clients (conditions générales/notices d’informations), les registres, les politiques d’archivage et de purge ainsi que les demandes d’exercice de droits (ex. : droit d’effacement)
– La revue des contrats sous-traitants avec les registres/fiches détaillées, les DPIA, la gestion des demandes d’exercice de droits et la préparation des gestions de crise.

Une bonne capacité à établir des cartographies qui serviront à construire des référentiels, notamment en matière de :

  • DCP
  • Durées de conservations
  • Traitements
  • Finalités
  • Applications
  • Flux (entrants/sortants)
  • Risques
  • Mesures de sécurité
  • Sous-traitants
  • Destinataires de DCP
  • Entités juridiques
  • Les relations entre ces éléments

• Une bonne capacité à concevoir et assurer une conduite du changement à grande échelle dans la mesure où la démarche RGPD concerne tous les acteurs de l’entreprise :
– Formation et mobilisation des membres de Comités de Directions,
– Formation et mobilisation des managers (Mid-management et Senior management),
– Formation et mobilisation des experts opérationnels.

• D’excellentes capacités pédagogiques pour introduire de nouveaux concepts (notamment la finalité de traitements, les fondements juridiques, parfois même la considération d’une donnée comme DCP ou non…) auprès des différents intervenants et établir des lignes directrices pour la prise en compte de la réglementation en mode run et en mode projet.

• Une bonne capacité à établir des liens auprès d’acteurs externes à l’entreprise, notamment les sous-traitants (ex. : revue de leurs mesures de sécurité, suivi de leur mise en conformité).

Les acteurs clés en termes de définition de guidelines sur la problématique RGPD sont :
• Le Département juridique
• Les services en charge de la Sécurité des Systèmes d’Informations
• La Département de la Conformité

C’est pourquoi la réussite de la mise en conformité RGPD passe par des interactions permanentes et une relation de proximité avec l’ensemble de ces acteurs.