A moins d'avoir passé les douze derniers mois au fin fond de la forêt amazonienne, il y a peu de chances que vous n'ayez pas entendu parler du RGPD, le nouveau règlement européen sur la protection des données, entré en application le 25 mai 2018. PME ou grands groupes, secteur public ou privé, BtoC ou BtoB… Le RGPD concerne toutes les organisations.
Les entreprises souvent perdues
Pourtant, rares sont celles à s'être totalement mises en conformité, du fait de la complexité de son contenu et des actions à entreprendre. Lancée il y a un an par Orange Cyberdefense, la formation L'Essentiel du RGPD a été conçue pour aider les entreprises à passer à l'action. Au premier semestre 2018, elle a séduit plus de 200 entreprises, un record. Pourquoi un tel succès ? La réponse est simple : nous le constatons à tous les niveaux (DSI, chefs de projet, RH, fonctions transverses…), les entreprises sont souvent perdues.
Que ce soient les départements SI qui sont au point techniquement mais ont besoin d'une explication de texte, ou les services qui comprennent la régulation mais ne savent pas la traduire sur le terrain. Et que dire des DPO, les fameux délégués à la protection des données, qui sont parfois catapultés à ce poste sans savoir de quoi il s'agit, ou qui savent de quoi il s’agit mais qui n’en ont pas les moyens. On ne peut pas leur en vouloir ! Le fait est, certaines entreprises n'ont pas encore pris la mesure de la réglementation. Ou alors, c'est le contraire : elles cèdent à la paranoïa et se mettent à multiplier les demandes de consentement, même quand cela n'est pas nécessaire.
Adopter une approche par le risque
En tant que consultants, qui faisons également beaucoup d'accompagnements de mise en conformité, nous savons que la solution passe par une hiérarchisation des priorités. La clé, c'est une approche par le risque. Car si on se limite à une approche purement théorique, il faudrait tout faire tout de suite. Imaginons par exemple un traitement de données qui ne pose pas beaucoup de risques informatiques mais qui est hors cadre, et un autre qui est dans les clous mais avec un risque élevé de fuite. Il est sans doute plus urgent de corriger le second.
En tant que formateurs, le moyen de faire passer ce message consiste à vulgariser, à prédigérer l'information pour la restituer en la traduisant dans la réalité des acteurs. "Ce point précis, que veut-il dire concrètement pour moi ?" Il faut que ce soit parlant, ancré dans la pratique. Les stagiaires doivent sortir avec une feuille de route, en ayant compris ce qui est à réaliser. Parfois cela se traduit par l'expression de nouveaux besoins, parfois par une liste des moyens humains et financiers à mettre en face de leurs objectifs.
Un projet qui s'inscrit dans la durée
Le but de tout cela, c'est de former des M. Jourdain du RGPD, qui manient des notions juridiques sans le savoir. Pas question de se substituer au travail des avocats ! D'ailleurs, il est également important de renvoyer vers les bonnes sources, pour le travail de veille juridique. Il faut comprendre qu'il s'agit d'un projet dans la durée.
Nous nous adaptons aux besoins remontés par les stagiaires en proposant en cette fin d’année des formations plus pratiques, sous forme de modules d’une journée à la carte, tels que :
- « Comment formaliser une fiche de traitement ? »
- « Comment réaliser une analyse d’impact sur la vie privée ? »
- « Comment gérer une violation de données ou des demandes d’exercice de droit ? »
Pour aller plus loin :
Avec la collaboration de Jérôme Mauvais
Consultante manager au sein de la Business Unit "Audit et Conseil" chez Cyberdefense, je suis en charge du pôle de compétence « droit de la Cyber et conformité réglementaire », qui comprend notamment la conformité au RGPD. A ce titre, j’accompagne nos clients dans leurs démarches de mise en conformité au RGPD.