![: « Nous observons que tout ce qui est sous le pilotage et la responsabilité directe du DPO, est bien maîtrisé. […] En revanche, pour tous les autres sujets pour lesquels le DPO ne peut agir qu’en coordination avec les métiers ou la DSI pour ne citer que ceux-là, le niveau de conformité reste à parfaire. »](content/articles/119162/main_canva-portrait-web.jpg)
Cela fait maintenant quatre ans que le Règlement général sur la protection des données(RGPD) est entré en vigueur. Plus aucune excuse n’est recevable pour ne pas être en conformité et la recrudescence des attaques cyber qui continuent après la période Covid-19, de même que les nombreuses condamnations et amendes appliquées par les différents régulateurs internationaux, nous rappellent combien ce sujet est une zone de risques importante.
La Commission nationale de l’informatique et des libertés (CNIL), le 28 janvier 2022, lors de la Journée de la protection des données, a annoncé une année record, tant en termes d’activité (avec 18 sanctions et 135 mises en demeure) que de montant cumulé des amendes, qui atteint plus de 214 millions d’euros en 2021.
RGPD : de la nécessité de documenter ses choix lors du recours à des sous-traitants
La conformité au RGPD est une conformité très opérationnelle
Depuis l’entrée en vigueur du RGPD, les organisations se sont mises en ordre de marche et la plupart peuvent prétendre à un certain niveau de conformité. Mais qu’en est-il dans les faits ?
L’une des caractéristiques majeures de la conformité au RGPD c’est qu’il s’agit d’une conformité très opérationnelle, du quotidien, qui est assurée par l’ensemble des collaborateurs dans l’exercice permanent de leurs activités.
Dans ce cadre, nous observons que tout ce qui est sous le pilotage et la responsabilité directe du Délégué à la protection des données (DPO), est bien maîtrisé. Cela se traduit notamment par le fait que le dispositif de conformité est globalement en place. Les procédures requises ou utiles existent (demande de droit, réalisation d’un PIA, gestion d’un databreach…), la gouvernance est organisée et formalisée, avec des solutions soit internalisées, soit externalisées.
En revanche, pour tous les autres sujets pour lesquels le DPO ne peut agir qu’en coordination avec les métiers ou la DSI (Direction des systèmes d’information) pour ne citer que ceux-là, le niveau de conformité reste à parfaire.
C’est dans le déploiement que se cache le secret du succès !
Les enjeux de la conformité sont encore un peu éloignés du quotidien des collaborateurs et à ce stade, il reste des efforts à produire pour décliner, dans les métiers et dans les systèmes d’information, les enjeux majeurs du RGPD. Par exemple, les durées de conservation restent trop théoriques et ne correspondent pas à celles pratiquées par les métiers, de même que les règles d’archivage sont rarement traduites dans les cycles de "purge" des systèmes d’information.
Les actions de sensibilisation restent encore trop générales et pas suffisamment orientées sur les enjeux opérationnels des différents métiers. Elles ne permettent pas d’accompagner le changement et de faire évoluer les pratiques quotidiennes qui, in fine, font la conformité.
Le sujet de la sécurité des systèmes d’information, qui n’a pas attendu le RGPD pour exister, reste encore un peu trop déconnecté de ce dernier, avec des interactions entre DPO et DSI trop rares et un postulat un peu trop général visant à considérer que le sujet de la protection des données est globalement embarqué dans la sécurité des systèmes d’information, et qu’en conséquence il n’est pas nécessaire d’en faire un focus particulier.
Un autre enseignement intéressant lié au choix du recours à un DPO externalisé ?
Ce mode d’organisation est parfois insuffisamment piloté et une trop grande liberté d’actions est laissée au DPO externalisé. Ce dernier agit de manière très autonome, souvent en réaction face à des questions qui lui sont remontées, mais insuffisamment en mode pro actif, avec un plan d’actions annuel défini, avec des priorités, un planning assurant une "présence" du RGPD au fil du temps et des temps forts de rencontre avec le responsable de traitement.
Avoir recours à un DPO externalisé n’est pas une externalisation de la responsabilité liée au RGPD, une "assurance CNIL", mais bien un choix organisationnel, qui doit être piloté, suivi, structuré pour en assurer le bon fonctionnement. Une prise de conscience doit être faite sur cet élément de stratégie par le responsable de traitement et traduite dans la gouvernance.
L’intégration du RGPD au dispositif de contrôle interne comme marqueur de maturité
Quelques bonnes pratiques sont aussi à relever comme la digitalisation et l’automatisation des processus d’évaluation de la conformité des tiers, ou l’intégration du RGPD dans le référentiel de contrôle interne de l’entreprise. Cette première met fin à la folie des questionnaires. La deuxième démontre une maturité certaine de la fonction. Cela permet d’assurer un monitoring en continu de la conformité via des remontées d’indicateurs ou via une campagne annuelle d’auto-évaluation.
Cette intégration a aussi, pour corollaire, le fait d’intégrer aux référentiels d’audit interne des processus support et métier, des contrôles portant sur les principaux points de conformité au RGPD. De ce fait, la conformité est assurée aussi par les 2e et 3e lignes de défense.
Visio Conseils Pro : le Doctolib des hommes du chiffre, du droit et du conseil
Les DPO sont demandeurs d’un audit
Au-delà de la vision objective que permet de donner l’audit interne sur le niveau de conformité et le niveau de risque porté par la société, cet audit, des retours que nous ont fait les DPO, leur est très utile pour faire prendre conscience à la direction des enjeux et du niveau d’exposition aux risques, et faciliter la transversalité avec les autres fonctions et métiers pour assurer collégialement la conformité de l’entreprise.
