Qui doit gérer votre projet RGPD ?

Qui doit gérer votre projet RGPD ?

Le règlement général sur la protection des données (RGPD) doit entrer pleinement en vigueur en mai 2018. Il reste donc moins d'un an aux entreprises pour se mettre en conformité. De nombreuses entreprises s'inquiètent à propos du règlement, qui impose des amendes en cas de non-conformité et de violation de la sécurité des données.

Il existe de grandes incertitudes autour du RGPD, notamment en quoi consiste le règlement et qui il impacte. Une zone de flou persiste particulièrement pour savoir qui doit endosser, au sein des entreprises, la responsabilité pour les problèmes concernant le règlement.

Certains pensent que les efforts autour du RGPD doivent être menés par le directeur des systèmes d'information, alors que d'autres désignent le responsable de la sécurité informatique, étant donné les exigences de sécurité rigoureuses. D'autres pensent que le PDG et le conseil d'administration sont en définitive responsables de la conformité, pendant que certains professionnels de l'informatique suggèrent que le poste récent de directeur des données pourrait avoir un rôle important à jouer.

La responsabilité est au cœur du règlement mis à jour sur la protection des données, qui remplace la directive de protection des données établie en 1995. Dès lors, qui dans l'entreprise doit être responsable de la gestion du RGPD ?

Les experts s'accordent à dire que tout le monde possède une responsabilité dans l'entreprise. Les cadres supérieurs d'une entreprise (le délégué à la protection des données, le directeur des données, le directeur des systèmes d'information et le responsable de la sécurité informatique) doivent donc travailler ensemble afin de permettre une transition en douceur vers la mise en conformité.

Dans le même temps, il est nécessaire que quelqu'un supervise le projet. « Un leadership solide est important », déclare Duncan Brown, vice-président associé du secteur de la pratique de sécurité européenne à l'IDC EMEA.

« Parfois, le projet peut revenir à quelqu'un qui se propose en disant : je dois en avoir la charge », ajoute-t-il.

Les efforts de mise en conformité RGPD doivent remonter tout en haut de l'entreprise. En effet, celles-ci ne peuvent pas être en totale conformité sans implication du conseil d'administration. « Après tout, c'est le conseil d'administration qui sera finalement responsable », remarque Saurabh Ghelani, expert en confiance numérique et RGPD chez PA Consulting Group.

Ghelani préconise une équipe à leadership transversal, comprenant de hauts représentants provenant de tous les secteurs d'activité, notamment le marketing, le service client et l'approvisionnement. « Cela permettra de faire de la mise en œuvre du RGPD un succès », poursuit-il.

Délégué à la protection des données

Une partie du RGPD stipule que certaines entreprises doivent se doter d'un délégué à la protection des données (DPD) d'ici à mai 2018. Cela amène certaines entreprises à penser que le DPD doit être en charge de tous les aspects du RGPD.

Ce n'est pas nécessairement le cas. « Pour le RGPD, le rôle du DPD est d'assurer que le règlement est respecté », déclare Tim Grieveson, stratège en sécurité et Internet pour l'EMEA chez Micro Focus. « Tout un chacun, du conseil d'administration aux directeurs, possède une responsabilité dans le RGPD lors de l'utilisation des données des citoyens », ajoute-t-il également.

En outre, selon Brown, le rôle du DPD ne consiste pas à superviser toutes les décisions en lien avec le RGPD : « L'intérêt du DPD n'est pas d'être un décideur afin de déterminer le traitement des données (par exemple, pour décider les logiciels à utiliser). Il doit être la vigie interne du traitement des données, son rôle n'est donc pas de prendre ces décisions. »

« Ceci étant, la mise en œuvre du RGPD n'est pas l'affaire d'un seul homme », déclare Ghelani.

« L'intégration du RGPD ne relève pas uniquement de la responsabilité du DPD. Il s'agit aussi d'une question structurelle, qui requiert l'assistance de toutes les fonctions essentielles », poursuit-il.

« Le DPD ou les fonctions relatives au droit ou à la conformité peuvent conduire la mise en œuvre du RGPD dans un premier temps. Cependant, toutes les parties prenantes de l'écosystème des données personnelles ont un rôle identique à jouer dans le projet, puisqu'il impactera leurs rôles et leurs activités. »

Pour Ghelani, si une entreprise n'a pas déjà nommé un DPD, la responsabilité de la conduite du projet RGPD doit être donnée à un représentant de la haute direction qui a « du sérieux, de la visibilité et un mandat à l'échelle de l'entreprise ».

Il peut potentiellement s'agir du directeur de l'exploitation ou du PDG, selon lui. Ce type de rôle peut permettre à une organisation en réseau de mettre en œuvre le RGPD de la manière la plus efficace et efficiente.

Supervision du RGPD

La personne qui est amenée à superviser un projet RGPD dépend également des besoins individuels de l'entreprise. Dans ce cadre, il est important d'évaluer la façon dont l'organisation voit le RGPD. « Cela dépend de votre approche du RGPD et de l'entreprise dans laquelle vous êtes », explique Brown. Par exemple, « si vous êtes dans une organisation plutôt conservatrice en matière de dépenses informatiques et de risque commercial, il peut être souhaitable de se tourner vers le département juridique ».

En revanche, une entreprise peut considérer la mise en conformité RGPD comme une opportunité, auquel cas elle peut la mettre en avant pour se distinguer de la concurrence. Prenons par exemple une entreprise norvégienne spécialisée dans les bases de données marketing qui utilise des données personnelles.

« La nature de ses activités signifie qu'elle représente un risque considérable pour le RGPD », explique Brown. « Mais la personne qui dirige le programme est le directeur du marketing. Il considère donc que s'ils appliquent le RGPD de façon plus efficace, ils peuvent s'en servir comme un atout concurrentiel. »

Brown cite également l'exemple d'une entreprise en Belgique qui s'occupe de données personnelles sensibles. « S'ils perdent cela, ils mettent la clé sous la porte. La personne qui dirige le programme est donc le PDG, puisqu'il s'agit de leur principale stratégie commerciale.

Dans l'ensemble, ce n'est pas très important de savoir qui supervise le programme, tant que quelqu'un en a la charge », déclare Brown. « Quiconque le supervise, cela doit être un projet transversal », ajoute-t-il.

« Il s'agit de travailler ensemble, entre les services », approuve Grieveson. « Mobilisez une force de travail plus importante, pas uniquement le directeur des systèmes d'information et l'équipe informatique », conseille-t-il. « Faites également contribuer le marketing, les risques et la conformité. [Le RGPD] est la responsabilité de chacun. »

Lorsque quelqu'un a été choisi pour superviser le projet RGPD et que l'entreprise tout entière est impliquée, la formation du personnel doit également être envisagée. Grieveson explique que la formation doit être adaptée au type de service. « Il n'y a pas d'approche uniforme », déclare-t-il.

« Au sein de l'entreprise, tout le monde doit connaître ses responsabilités et les conséquences de ses actions », ajoute Brown. « Nous sommes tous responsables à un certain degré de la conformité. Les entreprises doivent s'assurer que tous les membres de leur personnel en sont conscients.

Les entreprises envoient généralement leurs employés se former à la sécurité informatique une fois par an », explique-t-il. « Ce n'est pas suffisant, cela doit être un processus permanent. »

Grieveson conseille aux entreprises de se tourner vers des partenaires expérimentés tels que Micro Focus : « Notre proposition Chemin en valeur peut être utilisée pour accompagner de nombreux services vers la conformité RGPD. »

« De nombreuses entreprises ne seront pas en conformité d'ici à mai 2018 », explique Grieveson. « La meilleure chose à faire est de voir cette date comme le début d'une mise en application et de continuer à développer une approche de la confidentialité qui évolue à mesure que votre entreprise se développe. »

Délégué à la protection des données Responsable de la conformité Responsable de la sécurité informatique

Donnez-nous votre avis et rejoignez-nous sur LinkedIn!

S'ABONNER

S'inscrire pour recevoir les bulletins GDPR & Beyond