Introduction de Sylvain Staub lors du 1er Team Talk RGPD, jeudi 14 novembre 2019
Quelle vision pour la gouvernance RGPD en 2020 ?
Il nous est apparu qu’après avoir accompagné plus d’une centaine de groupes de sociétés dans leur projets RGPD, il était important de réunir des DPO et des responsables de projets autour de la question de la structuration de ces projets.
Les retours d’expériences entre pairs sont toujours bénéfiques, surtout lorsque ces pairs sont des nouveaux venus au sein de leur propre organisation. Et surtout s’ils doivent mener des projets transverses et complexes, et qu’ils doivent mettre en œuvre des processus et des politiques dans toutes les couches de l’entreprise.
Notre objectif est que vous puissiez repartir avec en tête quelques bonnes pratiques.
Avec ce Team Talk, il s’agit de s’arrêter sur la question de l’organisation à mettre en place pour assurer cette nouvelle gouvernance issue du RGPD.
Comment le DPO peut-il pleinement prendre sa place au sein d’une organisation qu’il doit d’abord contribuer à créer ?
Comment peuvent se définir les rôles entre les différents acteurs ?
Qui porte les risques de cette nouvelle réglementation, comment responsabiliser les équipes qui sont autant de responsables de traitement ?
Comment se parler, quelles modalités d’échange, sans tomber dans une comitologie trop poussée, une réunionite aiguë ou une valse d’échanges d’emails ou de fichiers excel ?
Et même, comment se comprendre lorsque le vocabulaire, les notions, les concepts et les enjeux ne sont pas les mêmes entre les différents acteurs des différents métiers des différentes entités des différents pays ?
Je crois fortement que l’efficacité et donc le succès de la mise en œuvre d’une gouvernance RGPD dans un groupe de sociétés passe par la superposition de différentes cartographies :
- Cartographie du groupe tout d’abord – savons-nous toujours quelles sont les structures concernées, celles qui sont détenues majoritairement, celles qui sont indépendantes, franchisées, autonome dans leur gouvernance des traitements de données ?
- Cartographie des personnes au sein de chacune de ces entités : qui sont les DPO, les correspondants, les référents, les responsables, les valideurs, les contrôleurs ?
- Cartographie des traitements bien sûr, en identifiant les traitements communs à différentes entités, ceux qui sont sous le contrôle ou la responsabilité d’une même personne,
- Cartographie des logiciels, avec leurs versions et leurs capacités à répondre à l’exigence du privacy / security by défault,
- Cartographie des partenaires, éditeurs et autres destinataires externes des données,
- Cartographie de la documentation enfin, pour répondre à cette fameuse accountability et être en mesure à tout moment de faire la preuve de la conformité.
Ces différentes cartographies doivent être liées entre elles, pour éviter les doublons, éviter les oublis, éviter les contradictions, et faire de cet ensemble de cartographies une source d’informations précise, exhaustive, évolutive et donc pérenne et pilotable.
C’est pour cela que nous avons créé Data Legal Drive, car il nous paraissait impossible pour l’entreprise de mettre en œuvre de manière efficace et pérenne une gouvernance de la donnée personnelles sans s’appuyer sur un logiciel métier, comme le font les DRH, les Directions financières ou les Directions commerciales.
Et nous avons développé cette plateforme de pilotage du RGPD en reprenant tous les éléments de la mise en conformité, qu’ils soient juridiques, organisationnels ou techniques. Notre objectif est précisément de permettre la réalisation et l’interaction de chacune de ces cartographies.
Enfin, je crois que pour relever un tel défi il est indispensable de travailler autrement.
Il est indispensable de travailler de manière très proche avec d’autres professionnels. Spécialistes du droit, spécialistes de la transformation, spécialistes de la sécurité.
Pour les avocats par exemple, cela consiste à apprendre à travailler en mode consultant, c’est-à-dire à ne plus travailler essentiellement en mode réactif, en réponse à des questions précises posées par les clients, mais à travailler en mode audit, analyse de risque, mise en œuvre de plans de remédiation, suivi de projets, conduite de changement.
Nous avons réuni aujourd’hui 4 personnes qui vous exprimeront chacune la manière avec laquelle elles vivent le RGPD.
