Protection des données personnelles : tirer les ponts pour répondre durablement aux exigences du RGPD

      Pas de commentaire

 Protection des données personnelles : tirer les ponts pour répondre durablement aux exigences du RGPD

RGPD, un règlement européen pour protéger les individus

Toutes activités confondues, nos entreprises et organismes sont engagés dans des révolutions digitales qui mettent un accent déterminant sur l’exploitation des données. Big Data ou exploitation plus classique, il est devenu urgent d’inventer de nouveaux services et de développer les activités afférentes pour capter, faire parler et traiter les informations révélatrices des besoins et comportements des clients.

Afin de protéger les individus impactés par ces initiatives, le législateur européen fait adopter un Règlement Général sur la Protection des Données ou RGPD (General Data Protection Regulation en anglais). En vigueur en mai 2018, il est applicable par les responsables des traitements, c’est-à-dire à peu près tous les organismes privés ou publics qui collectent, enregistrent, organisent, structurent, conservent, exploitent… des données à caractère personnel (i.e. toute donnée qui se rapporte aux individus). Concernant les données sensibles à risques telles que les données de santé, données de génétiques ou biométriques, données ethniques, opinions politiques ou religieuses etc. les exigences sont renforcées en vue d’une protection maximale des personnes.

Pour convaincre, le législateur prévoit des sanctions importantes, aux impacts opérationnels forts, puisqu’elles peuvent toucher les autorisations de traiter les données, celle d’exercer ou le volet financier au travers d’amendes aux montants très importants.

Des principes liés aux données, aux traitements et aux droits des personnes ainsi que des exigences spécifiques à respecter

Une immense majorité de nos entreprises est donc concernée par ce règlement. Elles ont l’obligation de mettre en œuvre les mécanismes et procédures internes, propres à permettre la protection des données à caractère personnel. Et surtout, elles doivent pouvoir démontrer à l’autorité de contrôle qu’elles respectent le règlement : c’est le principe d’accountability. Il s’agira donc de prouver l’application effective, sur les volets sécurité, gouvernance et transparence :

  • des principes liés aux données: transparence, limitation des finalités, minimisation, exactitude, conservation,
  • des principes liés aux traitements: licéité, consentement, obligation légale, sauvegarde des intérêts vitaux, exécution d’un contrat, intérêts légitimes du responsable de traitement, etc.
  • des principes liés aux droits des personnes: communication, accès, rectification effacement, portabilité, etc.
  • des exigences spécifiques: nomination d’un Délégué à la Protection des Données (ou Data Protection Officer en anglais), mise en place du privacy by designetc.

Comme souvent désormais, ces obligations s’étendent au-delà des frontières naturelles de l’entreprise, et s’appliquent par conséquent aux sous-traitants qui gèrent les données personnelles mises à disposition par le donneur d’ordre. Ces prestataires ont par ailleurs un devoir de conseil vis-à-vis de ce dernier en termes de protection des données.

Vers un Système de Management de la Protection des Données

En pratique, le RGPD impose de déployer, entre autres :

  • Une politique relative à la protection de données ;
  • Des nouveaux processus / procédures dédiés ;
  • Des instances de décision ;
  • Un animateur de la démarche, le Délégué à la Protection des Données ;
  • Un pilotage d’ensemble ;
  • Des plans d’actions à mettre en œuvre ;
  • Etc.

Beaucoup auront reconnu dans cette liste, un certain nombre de traits caractéristiques d’un Système de Management, quelle qu’en soit la nature : Qualité, Environnement, Risque, Sécurité, etc.

image 1

Schématisation d’un Système de Management de la Protection des Données Personnelles déployé en réponse aux exigences du RGPD

Des Systèmes de Management de la Protection des Données Personnelles (SMPDP), appelons-les ainsi, sont donc sur le point de voir le jour, dans quasi toutes les organisations. Les recettes de mise en œuvre de systèmes de management ont été testées et sont disponibles. Et il est probable que cette fois encore, on tâchera de transformer cette nouvelle contrainte en opportunité pour l’entreprise – Le RGPD n’est-il pas vecteur de confiance entre le client et l’entreprise, favorisant ainsi le développement commercial ?

Néanmoins, s’il est clair que la réussite de ces démarches reposera tout d’abord sur une coopération pleine et entière entre le monde de l’IT et celui des juristes, ce ne sera pas suffisant.

En effet, transverses par nature, les SMPDP seront nécessairement en adhérence avec un certain nombre de démarches majeures, déjà présentes dans les entreprises : Qualité Client, Gouvernance et Qualité des données, Sécurité du Système d’information, Maîtrise des Risques et Conformité, Architecture d’Entreprise, Performance des processus, Responsabilité Sociale d’Entreprise, Projets, etc.

Déployé isolement, le SMPDP pourra difficilement atteindre ses objectifs de manière efficiente

Pour répondre à la préoccupation des dirigeants quant à l’efficience de mise en œuvre, au-delà de la conformité règlementaire, se pose donc, en amont de la démarche, la question des convergences et de la capitalisation sur les existants. Ce qui implique d’établir les connexions au-delà des exigences cœur du RGPD. C’est en effet à cette condition que les dispositifs créés ne s’ajouteront pas aux SMQ[1], SMSI[2], SMR[3], etc. qui s’empilent traditionnellement « sans trop se parler », tels qu’illustré ci-dessus.

image 2Sans approche globale au niveau de l’entreprise, les Systèmes de Management se superposent alors que les leviers de convergences sont multiples.

Cette ambition, est déjà à l’ordre du jour d’un certain nombre de dirigeants[4] et est probablement une condition sine qua non de pérennité pour le SMPDP à venir.


[1] Système de Management de la Qualité

[2] Système de Management de la Sécurité de l’Information

[3] Système de Management des Risques

[4] Lire Processus, ce que font les dirigeants, M Raquin & H Morley-Pegge, Editions Maxima 2017, où certains Directeurs Généraux vantent le développement de Systèmes de Management Intégrés pour remplacer les SM traditionnels vecteurs de lourdeur et de rejet par les opérationnels.

Après un début de carrière chez MEGA, son goût prononcé pour la systémique l’amène à consacrer rapidement sa carrière à la performance des organisations. C’est une passion nourrie par une connaissance approfondie et pratique du management par les processus développée dans des groupes bancaires, d’assurance et industriels d’envergure mondiale. Sa vision est à la fois large et très opérationnelle, assise sur une expertise très recherchée sur la maîtrise des risques opérationnels, la maîtrise des dimensions qualité et des compétences en urbanisation des systèmes. Ses interventions portent principalement sur le pilotage par les processus, les parcours et l’expérience client, les dispositifs de maîtrise des risques, les démarches de certification ou, encore les systèmes de management. Hugues pilote la practice « Banque et Assurance » de WillBe Group depuis 2007. Il participe activement à l’action éditoriale de WillBe Group et à la diffusion des bonnes pratiques avec la sortie de deux ouvrages de référence : "Piloter par les processus" (Editions Maxima) en 2013 et "Processus : ce que font vraiment les dirigeants" (Editions Maxima) en 2017.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*