You are currently viewing Bien constituer son référentiel RGPD, un axe stratégique pour les entreprises

Bien constituer son référentiel RGPD, un axe stratégique pour les entreprises

Accueil > Bien constituer son référentiel RGPD, un axe stratégique pour les entreprises

Être en conformité avec le fameux règlement RGPD entré en vigueur cette année est désormais un axe stratégique pour l’ensemble des entreprises, et ce, quel que soit leur secteur d’activité ou leur taille. Les réglementations européennes et françaises fixent désormais précisément les droits et devoirs qui incombent à toute organisation (usages, traçage, accès aux données, conditions de conservation) en matière de données nominatives enregistrées dans leurs bases de données.

Le RGPD (Règlement Général sur la Protection des Données) constitue le fer de lance de ces nouvelles dispositions immédiatement applicables. Celui-ci impose à tout organisme public comme privé, de rendre auditables les mesures prises en matière de protection des données personnelles, en documentant à la fois le niveau de conformité ciblé (démarches en cours) et atteint (mesures prises en entrée en vigueur).

Dans ce contexte, un nouvel homme-clé est né : le DPO (Data Protection Officer). Ce dernier est le garant de la mise en conformité de l’entreprise et doit piloter le projet de bout en bout. En liaison avec les services qui déclarent les traitements nominatifs réalisés dans l’ensemble des applications informatiques exploitées sous leur responsabilité, tout DPO doit ainsi mettre en place un mode de gestion industriel pour mener à bien sa mission. A priori évident, un tel processus est particulièrement complexe et nécessite de s’appuyer sur une approche pragmatique et traçable. L’objectif est simple : modéliser les traitements de suivi et la production des registres pour l’ensemble des organismes dont le data Protection Officer a la charge.

Mener à bien sa démarche de mise en conformité

Une démarche structurée est donc nécessaire, et notamment grâce au digital. En voici un exemple. Concrètement, une première étape consisterait en une déclaration, par les agents et via des formulaires adaptés, des traitements susceptibles de collecter et exploiter des données à caractère personnel. Un circuit de validation librement modélisé pourrait ensuite acheminer chaque déclaration vers le DPO qui matérialiserait son accord et produirait les registres réglementaires adaptés à chaque organisation dont il a la charge, sur la base de modèles préalablement constitués. Chaque agent disposerait alors de fonctions lui permettant de suivre les traitements et d’accéder aux registres générés. Cet exemple démontre clairement la complexité de mener à bien une démarche de mise en conformité de manière globale faute de mettre en place des processus de gestion structurés.

Ce que nous pouvons conclure de ces différents éléments est que la mise en conformité souvent présentée uniquement sous l’angle du conseil ne suffit pas. En effet, faute de mettre en place des processus de gestion collaboratifs et dédiés, il sera difficile de maintenir à jour son référentiel, de le faire évoluer et d’assurer sa mise en conformité. Attention donc à bien prendre la hauteur nécessaire pour s’assurer de la pertinence de sa démarche et de la viabilité de son approche pour être conforme aux directives du RGPD.

Par Pascal Feydel chez Advanced Prologue Innovation