Dans une démarche de mise en conformité RGPD, être conscient des pièges à éviter peut s’avérer utile. Nous avons recensé cinq erreurs qui peuvent parsemer le long chemin menant vers le précieux sésame.

47 % des entreprises et des organismes publics estiment avoir atteint en 2021 un niveau de complétude en matière de RGPD supérieur à 70 %, tandis que 37 % des répondants révèlent un taux de complétude inférieur à 50 %, selon le baromètre RGPD publié par Data Legal Drive, en partenariat avec Lefebvre Dalloz et l’AFJE (l’Association française des juristes d’entreprise).

Ce même baromètre met par ailleurs en avant que la digitalisation de la gouvernance des datas des entreprises, encore très timide en 2019 et 2020, a fait un bond en 2021. 31 % des sondés ont en effet digitalisé leurs registres avec exhaustivité et pérennité, alors qu’ils n’étaient que 14 % en 2019. Toutefois, 62 % des DPO et juristes sondés réalisent encore leurs registres à l’aide d’Excel.

Dans ce contexte, il est intéressant de se demander quelles sont les erreurs à éviter quand une entreprise est engagée dans une démarche de mise en conformité RGPD. Nous en avons recensé cinq.

 

1) Ne pas considérer la mise en conformité RGPD comme un projet d’entreprise

La mise en conformité RGPD est un véritable projet d’entreprise. Si un DPO (Délégué à la protection des données) considère que c’est à lui, et à lui seul, d’insuffler la dynamique RGPD dans son organisation, il se trompe lourdement. Si le DPO fait cavalier seul, s’il travaille de manière isolée et non collaborative, si le chantier de la mise en conformité RGPD vit sa vie de manière parallèle, sa démarche est fortement vouée à l’échec.

Pour réussir une mise en conformité, il est en effet nécessaire d’impliquer à la fois la direction de l’entreprise, mais aussi toutes les directions métiers. Sans sponsoring franc et massif de la direction générale, sans participation active des directions métiers, le projet a de faibles chances de réussite. De même, le DPO doit travailler en étroite collaboration avec le DSI et le RSSI de l’entreprise.

 

2) Ne pas être sensible aux données sensibles

La mise en conformité RGPD est un projet qui touche de très près aux données les plus sensibles de l’entreprise. Si l’on ne perçoit pas les enjeux hautement stratégiques liés à ces données, c’est qu’on ne souhaite pas protéger l’ensemble des data sets de l’entreprise, depuis les données clients jusqu’à celles liées aux salariés, en passant par les sous-traitants.

Un système de management de la sécurité, comme la norme 27 001, peut constituer un bon tremplin pour la mise en conformité RGPD. En couvrant les cinq grands risques liés à la protection des données personnelles (confidentialité, intégrité, disponibilité, identification

et durée de conservation des données), ce type de démarche donne une trame et un support solides.

 

3) Faire en sorte que le DPO soit juge et partie

Cette erreur rejoint la première (« Ne pas considérer la mise en conformité RGPD comme un projet d’entreprise ») en ce sens que le DPO doit être positionné dans l’entreprise comme un accompagnateur et non comme quelqu’un à la manœuvre sur tous les fronts. Si le DPO met en place de nouveaux processus puis contrôle que son travail a bien été fait, c’est le meilleur moyen de décrédibiliser son action.

Le DPO doit à l’inverse être mis dans une position de « super-conseiller » auprès des entités métiers. Son rôle doit être celui d’un chef d’orchestre. Les directions métier de l’entreprise, avec son appui, doivent s’intéresser aux données collectées, par exemple sur les salariés, lors des phases de recrutement, d’intégration, de paie ou de départ, ou sur les clients (logiciels commerciaux / CRM…).

 

4) Ne pas se donner les moyens de ses ambitions

Parler des moyens à consacrer à la mise en conformité RGPD, c’est évoquer une multitude de réalités qui varient en fonction des organisations, de leur secteur d’activité, de leur chiffre d’affaires ou de leur taille, etc.

Cela étant, ne pas monter d’équipe dédiée à ce projet bien particulier, ne pas lui allouer de budget spécifique, ne pas lui octroyer de ressources (l’achat d’un logiciel spécialisé par exemple, si le besoin s’en fait sentir), ne pas donner au DPO les moyens de sa mission (un mi-temps, un plein temps), sans planning, ni échéancier, c’est tout simplement se mettre en situation d’échec.

De même, ne pas se poser la question de l’accompagnement dont on pourrait bénéficier (par une société de conseil spécialisée), c’est renoncer aux bénéfices potentiels qu’une expertise extérieure pourrait apporter. C’est d’autant plus vrai quand le DPO n’est pas à plein temps.

 

5) Tout miser sur la technologie

La conformité RGPD, ce ne sont pas que des bases de données ni des tableaux de bord. La gouvernance est importante, comme cela a été évoqué précédemment. Un leadership assumé de la part de la direction de l’entreprise est indispensable.

Au-delà de cet aspect, la conformité RGPD peut aussi être considérée comme une opportunité de créer de la valeur pour l’entreprise. De très nombreux indicateurs peuvent en effet être extraits des bases de données manipulées, ce qui peut générer de précieux insights pour tous les départements et créer un avantage concurrentiel pérenne.