Les moyens des superhéros de la conformité
De nos jours, la protection des données personnelles est une préoccupation majeure pour les individus, les organisations et les gouvernements. Vous le savez déjà, l’entrée en application du RGPD en 2018 a renforcé la nécessité de garantir la confidentialité et la sécurité des informations personnelles. Au cœur de cette réglementation, se trouve le rôle du délégué à la protection des données.
Superhéros de la conformité, à l’instar des justiciers masqués, ils agissent généralement dans l’ombre de leurs bureaux et sont parfois contraints d’alimenter leurs évaluations de conformité grâce aux discussions autour de la machine à café… Pourquoi ? Manque de temps, manque de moyens, manque d’assistance… Nos chargés de conformité sont aujourd’hui au cœur d’une action coordonnée du Comité européen de la protection des données. L’objectif ? Evaluer la mise à disposition des « ressources » du délégué à la protection des données.
Pour rappel, le RGPD impose aux organismes ayant fait le choix (ou ayant rempli l’obligation) de désigner un délégué à la protection des données de lui octroyer des ressources suffisantes et adaptées à l’accomplissement de ses missions (articles 37 et 39 du RGPD). Ces ressources peuvent prendre différentes formes : il peut s’agir de moyens humains (relais internes, stagiaires, etc.), financiers (un budget RGPD), techniques (outils de gouvernance), etc. Il peut également s’agir, plus simplement, de temps : un temps suffisant pour mener à bien ses missions !
Pour la petite histoire, depuis 2018, RGPD Academy accompagne des délégués à la protection des données. Notre objectif est de les former pour leurs donner les armes nécessaires à l’exercice de leurs missions, leur recommander des outils, de la documentation, leurs fournir des conseils sur certains sujets, etc. Depuis le temps, vous pourriez penser qu’on a rencontré de nombreux acteurs disposant de toutes les ressources nécessaires pour remplir leurs missions de DPD. Ce n’est pas le cas ! Nous pouvons probablement compter ce nombre de DPD sur les doigts d’une main.
Notre constat personnel est le suivant :
I. Les délégués souffrent d’un manque de communication :
Il s’agit de la première recommandation que l’on pourrait faire : si vous désignez un pilote de la conformité, celui-ci doit être connu. Qu’il s’agisse d’un DPD interne, externe ou mutualisé, s’il passe inaperçu, son champ d’action sera limité ! On pourrait lui refuser l’accès aux informations nécessaires à ses missions par exemple.
Quelques idées pour bien communiquer :
- Faites une note d’information générale dans laquelle vous présentez la personne qui a été désignée ;
- Présentez brièvement les missions du DPD, vous pouvez vous aider de la fiche de poste proposée par l’AFCDP ici ;
- Profitez-en pour lancer des actions de sensibilisation au RGPD : elles permettront aux membres du personnel d’identifier leur rôle à jouer dans cette conformité.
II. Les délégués manquent de temps :
Plusieurs raisons accompagnent ce constat : les délégués à la protection des données ne sont pas que délégués à la protection des données. On s’explique.
Très souvent, les organismes décident de procéder à la désignation d’un délégué interne et est choisie une personne déjà en poste (une personne déjà bien occupée en somme). Ce qui est trop régulièrement oublié, c’est la question de l’emploi du temps. Vos salariés, aussi efficaces soient-ils, il faut bien garder à l’esprit que les missions de délégué ne se résume pas à un mail de temps en temps.
On retrouve la problématique du temps pour les DPD mutualisés et externalisés : ces acteurs interviennent au sein de différents organismes, et il n’existe pas aujourd’hui de limite fixée sur le nombre d’organismes qu’un DPD peut accompagner. Si on grossit vraiment le trait, cela veut dire qu’une seule personne pourrait être DPD pour tous les établissements de France. On n’aimerait pas avoir son agenda
Voici donc quelques recommandations :
- Pour les DPD internes : prenez le soin d’évaluer le temps réel nécessaire à l’accomplissement des missions de délégué à la protection des données. Pour cela, voici quelques idées :
- La prise de poste du délégué peut se faire en temps plein sur une ou deux semaines : cela permettra au nouvel acteur de se familiariser avec ses nouvelles missions, de faire un premier état des lieux et de travailler sur un planning prévisionnel. Vous pourrez ainsi y voir plus clair.
- S’il est inconcevable de monopoliser une personne sur les missions de DPD pendant une semaine, faites appel à un prestataire externe pour accompagner le DPD dans ses nouvelles missions. De la même manière que plus haut, un travail à quatre mains permettra d’obtenir un premier état des lieux et un prévisionnel.
- Pour les DPD externes et mutualisés, les mêmes recommandations s’appliquent : ils doivent bénéficier du temps nécessaire pour se familiariser. Mais surtout : ils ne doivent pas être seuls.
III. Les délégués sont seuls :
Si nous reprenons le parallèle des superhéros, il est grand temps de former une équipe. Qui seront donc vos Avengers de la conformité ?
En effet, il est très courant que le délégué se retrouve vite seul dans un coin. Une sorte de friendly neighborhood Data protection officer qui se trouvera vite dépourvu. Vous vous doutez bien que les discussions autour de la machine à café sont insuffisantes pour remplir un registre des activités de traitement ou réaliser une étude d’impact.
Que peut-on donc prévoir ?
- Cibler les acteurs de la conformité : il s’agit des chefs de projets, des responsables de services, des directeurs, etc. Il s’agit de tous ces acteurs qui connaissent les activités de traitement d’un organisme et de ceux qui vont créer de nouvelles activités de traitement. Ces acteurs doivent être formés aux règles de base du RGPD et doivent être réactifs. Leurs missions : Inclure le DPD dans les nouveaux projets de traitement de données, fournir les informations utiles à la documentation obligatoire, participer à la réalisation des études d’impact, et bien d’autres.
- Désigner des relais internes : il peut s’agir des mêmes acteurs ci-dessus. Comme le nom l’indique, ils feront le relais entre le DPD et les différents services. En ce sens, ils aideront aussi le DPD à remplir les différentes missions.
Mais attention ! Pour tous ces acteurs, il faudra une communication également.
IV. Les délégués manquent d’outils :
Et ce n’est pas faute d’exister : aujourd’hui différents logiciels existent avec pour but unique de faciliter la mise ou le maintien en conformité des organismes. C’est le cas d’Actecil Privacy Manager, de la Bright Box Compliance, et d’autres. Même la CNIL a mis à disposition son outil PIA pour la réalisation des études d’impacts prévues par le RGPD, ainsi que de nombreuses autres ressources pour remplir différentes exigences règlementaires.
Ce qui freine souvent est malheureusement la question du prix de ces outils : une dépense mensuelle ou annuelle qui peut sembler frivole. Là encore, on peut vous assurer que le DPD bénéficiant d’outils de gouvernance apprécient la chose :
- Les outils de conformité permettent de centraliser toutes les questions RGPD à un seul endroit ;
- Ce sont des outils à plusieurs mains : votre équipe de conformité peut y accéder voire plusieurs entités peuvent se partager un même outil ;
- Ce sont des couteaux suisses de la conformité : registre, PIA, gestions des demandes des personnes concernées, gestion des violations, audit, documentation, etc.
- Enfin, ce sont des outils qui évoluent et qui permettent de prendre en compte les derniers enjeux en matière de protection des données.
Si l’on devait synthétiser le sujet, on pourrait donc dire que des solutions existent pour aider le justicier de la donnée. Il revient donc à chaque entité de s’interroger sur la mise en œuvre de ces différentes solutions : communication, formation, temps, équipe et outils.
On rappellera pour conclure, que la mise à disposition des ressources est une obligation de moyens comme toutes les obligations prévues par le RGPD, et c’est cette obligation que la CNIL et ses homologues européens sont actuellement en train d’évaluer. Et vous ? Comment remplissez-vous cette obligation ?