DPO et privacy by design : pourquoi choisir un logiciel de conformité collaboratif
Apparue à l’occasion de l’entrée en application du Règlement Général sur la Protection des Données (RGPD) en mai 2018, la fonction de Délégué à la protection des données ou Data Protection Officer (DPO) s’est progressivement placée au cœur de la stratégie des organisations en matière de conformité. Le DPO a désormais acquis une place stratégique dès lors qu’il est question de traitement des données à caractère personnel. La liste de ses interlocuteurs au sein dans l’entreprise est longue : RSSI, DSI, RH, services financiers, marketing, commerce… En bref, tous les services qui traitent des données personnelles pour réaliser leurs missions. Le RGPD a instauré le concept de Privacy by design : chaque entreprise doit intégrer la protection des données personnelles dès la conception de ses projets afin de réduire aux maximum ses vulnérabilités et de se prémunir d’éventuelles fuites de données.
Aujourd’hui, l’un des enjeux de la fonction de DPO est lié à son aspect collaboratif : comment embarquer efficacement toutes les parties prenantes pour intégrer la sécurité dans les projets ? Quels processus mettre en place pour s’affranchir des obstacles et pour gérer les risques de l’écosystème dans sa globalité et dans sa diversité (tiers, fournisseurs, sous-traitants, clients…) ? Les réponses, nous le verrons, poussent à l’adoption d’un logiciel de conformité.
[Cet article est issu de l’une des tables rondes de l’édition 2022 du Printemps des DPO, à laquelle ont participé Pierre de Champsavin, product marketing, et Anne-Laure Goulard, responsable de comptes Make IT Safe]
1. Privacy by design : les freins et les obstacles du DPO
a) Le déficit de sensibilisation à la conformité
Il est fréquent que les services d’une organisation ne saisissent pas toujours les enjeux liés à la conformité RGPD et à l’importance de collecter de la data selon une réglementation stricte. Il existe donc des lacunes en matière d’évangélisation, de sensibilisation voire de formation au RGPD. L’autre écueil du DPO est de ne pas être sollicité(e) au moment opportun par les équipes Projet, ou de ne pas l’être du tout.
b) La difficulté de gérer la multitude des projets
Un souci récurrent pour les DPO : le nombre de projets qu’il doivent gérer est conséquent. Même si des arbitrages sont réalisés et que des priorités sont arrêtées, la gestion de l’ensemble des projets par un(e) DPO est un processus chronophage. Ce qui peut se traduire par une analyse non-systématique de certains projets et par la crainte d’en décaler d’autres.
c) Le Privacy by design a un coût
L’intégration du Privacy by design dans les projets d’une organisation a un coût qu’il faut prendre en compte. La question sous-jacente est de savoir qui le porte : est-ce le DPO ou les métiers ? Quel est le niveau de participation de chacun d’entre eux ? Le coût du Privacy by design est susceptible de devenir un désavantage concurrentiel s’il se répercute sur le prix de vente d’un produit ou d’un service.
d) Le Privacy by design : une transformation des mentalités
Le Privacy by design entraîne une vraie transformation des mentalités au sein des organisations et, pour cette raison, doit être pleinement soutenue par la direction (la réglementation à appréhender est en effet importante). Cette rupture accélère le changement dans le fonctionnement des équipes. La mise en place du Privacy by Design est donc un process important qui doit être réfléchi et accompagné efficacement.
2. Conformité : comment embarquer les parties prenantes ?
a) Embarquer les parties prenantes le plus tôt possible
L’idéal pour réussir l’intégration du Privacy by Design dans une organisation reste bien sûr d’embarquer les parties prenantes le plus tôt possible, c’est-à-dire dès la genèse des projets. Ce processus d’intégration de la sécurité doit se faire sur des bases communes connues de tout le monde, conformes au RGPD. Cela garantit la mise en place et le respect d’une méthode de travail durable. L’important n’est pas seulement de lancer le projet de manière sécure, mais de le sécuriser dans le temps.
b) Convaincre les parties prenantes
Il faut savoir argumenter auprès des parties prenantes et leur prouver que le concept de Privacy by design est un enjeu business de taille. La mise en place et la maîtrise du Privacy by design est à la fois une source d’avantage concurrentiel et une limitation importante du risque cyber. La prise de conscience passe par la responsabilisation des acteurs de l’organisation : ils collectent et exploitent les données personnelles de leurs concitoyens.
c) Privacy by design : le transfert de compétences
Il est primordial d’assurer un transfert de compétences à destination des salarié(e)s. Le but à poursuivre est la sensibilisation et la formation régulières à la conformité RGPD et aux bonnes pratiques de Privacy by Design, en fonction du contexte et de la maturité de chaque équipe. Le must est de pouvoir s’appuyer à un moment donné sur des ambassadeurs RGPD en interne qui possèdent une fine connaissance des enjeux et qui peuvent servir de relais.
3. Privacy by design : quelle démarche mettre en place ?
La bonne démarche est celle appliquée à chaque projet et qui s’adapte à son contexte. Cette démarche doit être portée par un responsable de la sécurité du projet capable de maîtriser les aspects réglementaires. Son rôle diffère de celui du chef de projet, qui est plus spécifiquement en charge d’assurer le suivi. La validation du DPO et du RSSI – ou du moins leur consultation – est particulièrement recommandée à chaque étape du projet.
Les différentes étapes de la démarche à mettre en place :
4. Privacy by design : les bonnes pratiques
a) Il convient d’instaurer une collaboration étroite et fructueuse entre les achats et les métiers d’une organisation. L’objectif est d’intégrer des éléments importants dès la rédaction du cahier des charges et la sélection des outils de production.
b) La prise de conscience des parties prenantes est un point primordial dans la compréhension du Privacy by Design et dans son application. Elles doivent comprendre que le DPO ne porte pas la responsabilité de la conformité. C’est la direction porte le risque pénal et financier.
c) Le DPO doit être en mesure de valider ou non la conformité des projets, et donc de reporter leur lancement tant qu’ils ne s’inscrivent pas dans le Privacy by design. Il doit pouvoir accompagner le responsable de la sécurité d’un projet directement ou indirectement via un support juridique.
d) Le responsable métier doit être un interlocuteur privilégié que l’on implique tout au long du déroulement du projet.
e) Le processus de sécurisation des projets doit être co-construit et formalisé avec les métiers. Il doit être testé sur les premiers projets, avant d’être adapté et adopté plus largement au sein de l’organisation.
f) Il convient de faire preuve de persévérance dans la formation et dans la sensibilisation à la conformité : il est nécessaire qu’elles soient contextualisées et impactantes.
Conclusion
Devant la hausse exponentielle du nombre de données personnelles exploitables et la complexification de la structure des écosystèmes, la mission du DPO est de plus en plus déterminante dans les organisations : pierre angulaire de la mise en conformité et de son maintien, le DPO doit faire preuve d’une pugnacité permanente et de beaucoup d’énergie pour agir, convaincre, sensibiliser, former, évangéliser. Sans forcément de garantie de succès puisque sa démarche dépend de la prise de conscience et de l’implication des parties prenantes.
L’une des solutions les plus pertinentes pour un DPO – et pour un RSSI d’ailleurs – est de s’outiller avec un logiciel de conformité de référence. Un logiciel en mode SaaS comme Make IT Safe est capable – en quelques clics – de sécuriser tous les projets de A à Z et les entités d’un écosystème en impliquant les parties prenantes (via la fonctionnalité Conformité RGPD qui comprend l’audit de traitement, l’audit des fournisseurs, l’analyse d’impact et la gestion des registres de traitements entre autres). Il allie performance, collaborativité et ergonomie selon une approche Privacy by design. Le logiciel Make IT Safe garantit la sécurisation des données personnelles et la mise en conformité des organisations. Et surtout il simplifie la vie des DPO !