MOI DPO – Les premières actions

Dans le cadre de notre suite d’articles consacrée à la vie du Délégué à la protection des données personnelles (DPO) nous avons déjà abordé ensemble les étapes que constituent la prise de fonction du DPO et l’animation de son réseau, essentielle à la conduite du projet de conformité.

Ces articles sont disponibles sur le blog de Digitemis :

MOI DPO : #1 – Prise de fonction

MOI DPO : #2 – Au centre du réseau

Ce troisième article a pour objet d’adresser les premières étapes opérationnelles que devra conduire le DPO avec son réseau pour mener à bien le projet de conformité de l’entreprise pour laquelle ils opèrent. Une fois le réseau en place ou ses relais désignés selon les termes choisis, le DPO doit désormais initier les démarches afin d’établir un premier plan de bataille.

Comment procéder ?

Tout d’abord, il est temps pour le DPO et son réseau de sonder les processus de l’entreprise pour identifier les points positifs et lacunes au regard des principes issus du RGPD, la loi Informatique et Libertés et les diverses lignes directrices et recommandations adressées par la Cnil. Pour ce faire, comme cela a été souligné dans le premier article de cette série, il est essentiel pour le DPO de connaître les tenants et aboutissants de la législation relative aux données personnelles. Evidemment, de nouvelles questions qui n’avaient pas été encore envisagées posant de nouveaux défis viendront toujours se poser, mais avec un socle de connaissances, les moyens à sa disposition et son équipe, le DPO a la capacité de trouver des solutions pragmatiques.

Pour identifier les processus préexistants ou non dans l’entreprise, la première étape pour le DPO, avant même l’établissement d’un plan d’actions, est donc la réalisation de ce que l’on pourrait appeler une évaluation de maturité visant à obtenir une première estimation de l’ampleur des tâches à venir.

Concrètement l’évaluation de maturité consistera à se poser des questions simples traduisant les exigences de la législation. Dès lors, le DPO aura une idée d’où il met les pieds. Parmi ces questions réparties en plusieurs catégories, on pourrait par exemple retrouver de manière non-exhaustive les points de contrôle suivants :

Gouvernance :

– Existe-t-il des politiques de protection des données personnelles des clients, usagers, prospects, salariés
– Le personnel a-t-il été sensibilisé aux enjeux de la protection des données personnelles et à la sécurité informatique ?
– Existe-t-il une procédure en cas de contrôle de la Cnil ?

Registre des traitements :

– Les traitements de données personnelles ont été recensés ?
– Un registre des traitements a-t-il été constitué ?

Données personnelles :

– Les traitements identifiés ont une finalité déterminée, explicite et légitime
– Les traitements impliquant l’utilisation de données sensibles ont été identifiés

Gestion des risques :

– Les traitements nécessitant une analyse d’impact relative à la vie privée ont-ils été identifiés ?

Transparence :

– Les personnes concernées par les traitements sont-elles correctement informés de ceux-ci ?

Sous-traitance :

– Les relations avec les sous-traitants sont-elles encadrées par un contrat écrit ?

Sécurité :

– Une charte informatique a-t-elle été adoptée et communiquée à l’ensemble du personnel ?

Pour obtenir les réponses aux questions qu’il a prédéfinies, le DPO devra être à même de solliciter les membres de son réseau, les métiers de l’entreprise si nécessaire, pouvoir accéder à de la documentation de l’organisme, tout ceci afin de mesurer et obtenir un premier indicateur du niveau de maturité de celui-ci.

Définition d’un plan d’actions et priorisation

Apporter des réponses à ces interrogations et identifier le niveau de maturité de l’organisme permettront bien évidemment de dégager un plan structuré visant à définir et prioriser des actions de remédiation aux lacunes constatées. Celles-ci pourront par exemple consister en la réalisation d’entretiens de cartographies avec les différents métiers afin de faire l’inventaire des processus de l’entreprise, la rédaction du registre de traitements, de politiques d’information, la mise à jour de sites internet, la revue de contrats avec les sous-traitants et l’intégration de clauses dédiées à la protection des données personnelles, etc.

Bien entendu, ce premier plan d’actions dégagé suite à cette évaluation de maturité continuera d’être alimenté au fur et à mesure de l’avancement du projet de conformité. Par exemple, la constitution du registre des traitements pourra avoir pour conséquence d’identifier d’autres actions nécessaires à se conformer aux principes de la protection des données personnelles.

Par un exemple, le registre permettra de mettre le doigt sur l’absence de durées de conservation des données, allant ainsi à l’encontre du principe de limitation des données. Autre exemple, la constitution des fiches de traitements avec les métiers pourra également être utile à constater le défaut d’information des personnes concernées.

Tous ces éléments viendront alimenter les actions qui devront être déployées au fur et à mesure de l’avancement de la conformité.

Le suivi dans le temps

Tout le long de la vie du projet de conformité de l’entreprise, qui vivra aussi longtemps que l’entreprise elle-même, le DPO et son équipe devront s’assurer de mettre en place un suivi à long terme. Evidemment toutes les actions identifiées à et à identifier ne pourront pas être réalisées du jour au lendemain. C’est pourquoi, il sera absolument nécessaire de les prioriser dans le temps au regard de divers facteurs.

Cela passera par la qualification d’actions dites “quickwin“, dont la mise en place permettra d’avoir un fort impact sur le taux d’avancement de la conformité tout en limitant le temps nécessaire à leur implémentation. D’autres actions, plus lourdes devront être conduites prioritairement parce qu’elles répondent aux grands principes du RGPD. Il s’agira de la constitution du registre des traitements ou encore de la mise en conformité d’un site internet après audit, justifié par le fait que celui-ci peut être perçu comme une “vitrine” de la conformité de l’organisme.

Toutes ces actions qui constituent le plan de conformité de l’entreprise devront donc être priorisées en fonction de leur difficulté, de la charge qu’elles représentent et de l’impact qu’elles auront sur le niveau de maturité de l’entreprise. Pour ce faire, le DPO, pour avancer efficacement devra s’appuyer sur son réseau mais aussi sur les équipes opérationnelles quand cela est nécessaire.

Dans la suite de cette série, nous aborderons plus en détails la première étape de ce plan d’action qui fait suite à l’évaluation de maturité. Dans la majorité des cas, il s’agira de la constitution du registre des traitements et de son suivi dans le temps.

Je partage

Derniers articles

Digitemis

Les RDV DIGITEMIS Septembre 2021

Découvrez notre agenda de la rentrée 2021, avec au programme : – Du 7 au 9 septembre : en tant que Partenaire du « FIC » (Forum International de la Cybersécurité) 2021 à Lille, vous pourrez nous retrouver tout au long du salon sur le stand A7-12 sur le pavillon HEXATRUST. N’hésitez pas à prendre, dès à présent, […]

Lire l'article

MOI DPO - Les premières actions

Privacy

MOI DPO – Les premières actions

Dans le cadre de notre suite d’articles consacrée à la vie du Délégué à la protection des données personnelles (DPO) nous avons déjà abordé ensemble les étapes que constituent la prise de fonction du DPO et l’animation de son réseau, essentielle à la conduite du projet de conformité. Ces articles sont disponibles sur le blog […]

Lire l'article