Plusieurs entreprises, collectivités et associations nous ont demandé de répondre à un besoin de mise en conformité RGPD. Ceci en établissant un devis global qui inclurait ladite mise en conformité… Honnêtement, comment penser mise en conformité sans être passé par la case audit ? Petite revue des besoins de la mise en conformité.

Certains de nos interlocuteurs ont absolument besoin d’une mise en conformité et ne se posent pas la question de l’audit. Ou alors, ils l’incluent dans une démarche globale et demandent déjà une enveloppe budgétaire pour tout contenir, y compris la mise en conformité RGPD ! L’audit RGPD est la base qui permet de bâtir un véritable cahier des charges de la mise en conformité. Et la mise en conformité n’a rien à voir d’une entreprise à une autre… Tout dépend… de tout…

L’audit RGPD en résumé

Par un tir croisé de questions et de mises en situations probables, l’audit RGPD permet d’obtenir une vue d’ensemble de la situation. En l’occurrence, des problèmes qui peuvent se poser dans l’entreprise dans la manière dont les données personnelles sont gérées. Ceci concerne tout aussi bien le système d’information que les collaborateurs, les sous-traitants, co-traitants, partenaires, intervenants externes en délégation, clients, fournisseurs… Souvent, on décèle des urgences. Le reste se meut en stratégie d’une mise en place durable du RGPD à moyen et long terme.

Quels départements impactés par le RGPD

Le RGPD inclut dans son périmètre toutes les gestions de données personnelles effectuées par l’entreprise. Les RH, le service marketing et communication, le commercial, le service juridique, la R&D, la DSI, la direction générale : tous ces services sont impactés de plusieurs manières. Et quand la société, l’association ou la collectivité dispose d’un CE (comité d’entreprise), ce même CE peut être impacté. Le sujet est vaste et nécessite d’être neutre. Le directoire doit être transparent et doit accompagner la démarche avec une communication qui commence au niveau des directions des départements. C’est stratégique !

Comment procède-t-on à une mise en conformité après un audit ?

La mise en conformité consiste à planifier la mise en œuvre des recommandations de l’audit et les mettre en oeuvre. Pour cela, un membre du personnel pressenti comme DPD (Délégué à la Protection des Données ou DPO* en anglais) peut s’en charger. Il faut toutefois que la personne puisse être l’interlocuteur de chacune des directions de l’entreprise. Il faut qu’elle puisse dialoguer avec chacune pour travailler avec les fournisseurs/prestataires externes impliqués dans la démarche RGPD. On peut assurer cette fonction de mise en conformité par un prestataire externe. ValorConseil PACA peut assurer cette action par une assistance à maîtrise d’œuvre et/ou assistance à maîtrise d’ouvrage. Sur un plan pratique et juridique, on ne peut réellement penser à une délégation externe d’un DPO qu’après la mise en conformité effective.

L’humain dans le RGPD

Pour finir cette brève présentation, quand on dit que le RGPD impacte tout, il impacte avant tout et surtout l’humain. La machine, les processus sont bien sûr des moyens. Mais si les collaborateurs ne connaissent rien au RGPD, toute démarche est vouée à l’échec d’une mise en conformité. On ne peut pas robotiser les hommes. La formation continue est en partie une solution pour mettre en place une stratégie d’accompagnement à la mise en place rapide d’une mise en conformité efficiente.

*Data Protection Officer