Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. RGPD
  3. Mise en œuvre du système de management
Extrait - RGPD Le comprendre et le mettre en œuvre (3e édition) - (témoignages de responsables de traitement et référents à la protection des données personnelles)
Extraits du livre
RGPD Le comprendre et le mettre en œuvre (3e édition) - (témoignages de responsables de traitement et référents à la protection des données personnelles) Revenir à la page d'achat du livre

Mise en œuvre du système de management

Introduction

La méthode exposée dans ce chapitre permet de disposer au bout de quelques jours pour les petites entreprises et quelques semaines pour les plus grandes :

  • d’un système de management opérationnel

  • de preuves opposables en cas de sollicitations ou de poursuite

Le chef de projet devra faire preuve de tactique en combinant de manière optimale les modes opératoires et les moyens dont il dispose. Un tel projet vient nourrir la transition numérique de l’entreprise et fait bouger les lignes de l’organisation.

Choix de la méthode

Le chapitre Un système de management conclut qu’il faut mettre en œuvre un SMDCP composé de processus, d’outils, qui nécessitent des compétences (internes ou externes) ainsi qu’une structure de gouvernance pour atteindre le but. De plus, en présence de systèmes déjà existants, il doit en être tenu compte dans la phase de conception.

Dans 80 % des cas, c’est le service informatique qui initialise la réflexion auprès de la direction. Le responsable informatique ou la personne qui en prend l’initiative va profiter d’une réunion de direction pour expliquer les enjeux du RGPD et les obligations de l’entreprise.

Quelle que soit l’écoute accordée, le projet RGPD est un projet pour lequel les directions ne souhaitent pas investir beaucoup de temps ni de ressources. La méthode de mise en œuvre s’appuie sur deux principes :

  • Utiliser des cycles courts pour obtenir rapidement des résultats.

  • Capitaliser sur des ressources déjà existantes pour limiter les coûts.

images/04DP01.png

Peu de moyens et beaucoup de résultats

Inspirée du lean startup, la méthode pragmatique du build & run est celle que nous avons retenue. Elle comprend deux phases, conception et réalisation, que nous découpons en cinq étapes pour la conception et trois pour...

Phase de conception

images/04DP03.png

La phase de conception comprend cinq étapes :

1.

Initialiser le projet et définir le périmètre.

2.

Collecter les activités de traitement.

3.

Évaluer les éléments du système et projeter une organisation.

4.

Apprécier le dispositif de sécurité, traiter les analyses d’impacts relatives à la protection des données et rédiger les politiques.

5.

Valider le plan de progrès, enregistrer les documents à valeur de preuves et clôturer la phase.

Nous ne rappelons pas les bonnes pratiques de la gestion de projet, elles sont considérées comme connues.

1. Étape 1 : Définir

images/04DP04.png

a. Objectifs

C’est le lancement du projet. Cette étape vise six objectifs :

  • Nommer le chef de projet

  • Définir le périmètre du SMDCP

  • Identifier les acteurs de la gouvernance

  • Définir les critères du registre des activités de traitement

  • Définir un support de sensibilisation

  • Impliquer la direction

b. Activités

Nommer le chef de projet

Le chef de projet porte la responsabilité de conduire le projet jusqu’à l’étape Clôturer le projet. Sa compétence est décrite dans le chapitre Un système de management. Dans un cas sur deux, il s’agit du DPO ou du référent DPO pressenti.

Il est important qu’il dispose de relais internes dans l’entreprise. Il est nécessaire qu’il ait acquis des connaissances minimales sur le RGPD, au travers de lectures, de séminaires thématiques ou encore d’une formation. Dans tous les cas, il doit être averti sur ce qu’est une donnée à caractère personnel et une activité de traitement.

images/04DP05.png

Il est vivement recommandé que le chef de projet dispose d’un réseau interne

Définir le périmètre

La note de cadrage doit reprendre l’objectif du projet, préciser le périmètre, rappeler les phases, les étapes et les livrables attendus, les ressources demandées et un premier de plan de communication qui sera mis à jour au fil du projet.

Il est fondamental que cette note de cadrage soit signée par la direction pour s’assurer de son support.

images/04DP06.png

La première source d’échec...

Phase de réalisation

1. Les trois étapes de la phase de réalisation

images/04DP23.png

Cette phase peut être considérée comme le premier cycle de gestion des DCP. Elle permet de réaliser le premier plan de progrès.

Cette phase de réalisation comprend trois étapes :

1.

Exécuter les actions du plan de progrès

2.

Mesurer l’efficacité du SMDCP

3.

Clôturer le projet et passer en mode cycle de vie.

Au terme de cette phase, un nouveau plan de progrès vient alimenter le modèle PDCA du cycle de vie du SMDCP.

2. Étape 1 : Exécuter

images/04DP24.png

a. Objectif

Exécuter les actions du plan de progrès.

b. Activités

Il s’agit de réaliser le plan de progrès. Sachant qu’a minima une action est attachée à chacun des processus, nous apportons dans cette section un éclairage sur des difficultés qui peuvent être rencontrées ou des points qui peuvent demander quelques précisions.

Accountability

Outre l’implication de la direction, la problématique qui revient souvent est la compétence du DPO et le maintien de ses connaissances. Il existe des formations certifiantes et des formations universitaires.

À moins d’être un grand groupe ou bien une structure publique de grande taille, peu d’entreprises peuvent justifier le financement de telles formations. Cet ouvrage donne les premiers éléments de formation au futur DPO. Il conviendra ensuite qu’il prenne conseil auprès d’experts externes, comme peut le faire le responsable des ressources humaines de l’entreprise auprès d’un avocat spécialisé en droit social.

Enfin, il existe deux associations auprès desquelles le DPO peut se tenir informé :

Traitements et transferts de données hors UE

La question qui se pose souvent est la granularité du registre. Antoine de Saint-Exupéry écrivait : « Il semble que la perfection soit atteinte non quand il n’y a plus rien à ajouter, mais quand il n’y a plus rien à retrancher. » Nous recommandons dans un premier temps de faire l’inventaire des méta-traitements, par exemple la gestion du personnel, la gestion...

Organisation du projet

images/04DP32.png

1. Échéancier du projet

L’échéancier du projet dépend de la taille de la structure, de la nature des activités de traitement, des ressources allouées et de la motivation des acteurs. Un tableur est suffisant pour gérer le calendrier et les échéances. Il est certain que faire appel à une assistance d’ouvrage externe facilitera la réalisation du projet. En effet, au-delà du retour d’expérience, elle fournit des outils d’évaluation et des modèles de documents. Qui plus est, la collégialité, un des quatre principes fondamentaux de la gouvernance, est plus facilement appliquée eu égard à l’absence de relation hiérarchique entre l’assistant et la structure managériale de l’entreprise.

images/04DP33.png

La phase de conception ne doit pas dépasser 2 mois. La durée de la phase de réalisation dépendra de la nature des actions de progrès et des ressources allouées. 

Pour les petites structures, le projet de mise en œuvre se déroule sur une période de deux à trois mois. Il peut durer beaucoup plus longtemps pour une autorité administrative ou une entreprise qui offrent essentiellement des services en ligne.

2. Ressources du projet

Les ressources allouées dépendent évidemment...

Cycle de vie du SMDCP

Le système de gestion des données à caractère personnel entre désormais dans la phase cycle de vie.

images/04DP35.png

Le système de management des données à caractère personnel

Planifier

Chaque année, il convient de faire une revue du système et des politiques pour acter un nouveau plan de progrès.

Pour cela, il est nécessaire de prendre en compte l’évolution du périmètre, les nouveaux traitements et les évolutions du règlement et des lois.

Développer

Les bonnes conditions de réalisation de ce nouveau plan restent identiques : s’assurer que les ressources et les compétences ont bien été allouées à l’exécution du plan de progrès.

Contrôler

Sans mesure, pas de progrès. Chaque année, des mesures sont faites pour apprécier la réalisation des actions de progrès, mais aussi pour identifier des sources d’amélioration et de rationalisation des processus.

Ajuster

Cette étape d’ajustement permet de proposer un nouveau plan de progrès et fait l’objet de la production du bilan annuel des activités du DPO.

La cinquième source d’échec est de ne plus allouer de ressources pour maintenir, dans le temps, le système en conditions opérationnelles.

Facteurs clés de succès du projet

Nous rappelons les facteurs de succès du projet de mise en œuvre du RGPD :

  • Une direction impliquée et qui le démontre.

  • Une phase de conception condensée sur quelques semaines.

  • Un plan de communication dynamique orienté bénéfices, et pas contraintes.

  • Une structure de gouvernance représentative et collégiale.

  • Des ressources et compétences appropriées à la réalisation des plans de progrès. 

  • La garantie de disposer de moyens pour assurer le cycle de vie du système afin de permettre à l’entreprise de respecter dans le temps les exigences du RGDD et de pouvoir le démontrer.