Le RGPD, une question de gouvernance dans le groupe

Gouvernance RGPD

La mise en conformité RGPD, un effort de groupe

Un des faits marquants lié à l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) est la capacité pour les autorités de contrôle de sanctionner les organismes jusqu’à 4% du chiffre d’affaires du groupe. Ce point implique un effort de mise en conformité global, pour toutes les entités d’un même groupe.

Ainsi, plusieurs besoins émergent :
– un besoin de pilotage par les organes de la conformité ou du contrôle dans le groupe
– un besoin de partage sur les directives/bonnes pratiques ayant attrait au RGPD dans le groupe
– un besoin de partage de la connaissance autour du RGPD (celui-ci convergeant avec le devoir de sensibilisation à la protection des données également apporté par le RGPD).

Un modèle de gouvernance adapté au groupe

Les groupes doivent par conséquent mettre en place une gouvernance liée à la mise en conformité RGPD (ou inclure les besoins relatifs au RGPD dans une gouvernance “Compliance” plus globale). Les différents travaux menés par Make IT Safe auprès de ses clients ont mis en avant l’existence de différents dispositifs de gouvernance pour cette mise en conformité.

On notera ainsi :
– des modèles de gouvernance mettant en place un Data Protection Officer (DPO) groupe, “chef de file” d’un ensemble de DPO de filiales, chargés de travailler ensemble à la mise en conformité du groupe
– des modèles où une seule entité en charge de la conformité établit les guidelines et pilote la mise en conformité de toutes les entités
– des modèles où la mise en conformité est fortement déléguée aux différentes entités du groupe.
Le type de gouvernance adopté par une structure dépend fortement de son organisation initiale et du contexte dans lequel elle s’inscrit.

Un besoin d’outillage

Parallèlement à la définition de cette gouvernance, nombre de groupes ont identifié le besoin de mettre en place un outil pour les accompagner dans leur mise en conformité. En effet, la mise en conformité au RGPD requiert un grand nombre de travaux (cartographie des traitements, constitution d’un registre sous-traitant, mise en place de procédures de réponses à l’exercice des droits usagers, …), un suivi continu et une réactivité accrue. Une bonne organisation initiale ne suffit plus à répondre à ces attentes, impliquant de fait la nécessité de mettre en place un outil de pilotage complet à l’échelle du groupe.

Nous pouvons citer quelques principaux critères de sélection d’un outil RGPD : ses fonctionnalités bien sûr, la façon dont elles permettent de faciliter le travail de mise en conformité mais également le maintien dans le temps de la conformité. Au regard des enjeux de gouvernance pour la mise en conformité du groupe, il paraît également fondamental, lors de la sélection d’un outil, de prendre en compte la capacité de l’outil à porter le modèle de gouvernance adopté par le groupe.

Une adaptabilité et une agilité requise pour répondre aux besoins du RGPD

La capacité d’un outil à s’adapter à un modèle de gouvernance va donc particulièrement être liée à la possibilité de décrire précisément la structure du groupe, à être en mesure de cloisonner si nécessaire les travaux de conformité en fonction des entités, à pouvoir décrire efficacement les rôles des différents acteurs de la conformité dans le groupe ainsi que de pouvoir établir des hiérarchies entre les entités et/ou les acteurs engagés dans la démarche.

Mais le besoin ne s’arrête pas là : un groupe est une structure organique qui vit et évolue dans le temps. L’outil doit donc être en mesure de suivre l’évolution du groupe. Emergence de nouvelles entités, fusion ou intégration d’organismes externes, mouvance des acteurs au sein de groupe ou encore évolution des responsabilités sont des enjeux auxquels la solution doit répondre en s’adaptant aux changements opérés dans le groupe.

La définition d’une bonne solution RGPD souhaitant s’adresser aux grands groupes ne se cantonne pas à sa capacité à répondre aux différents articles du règlement, elle inclut également la dimension organisationnelle du groupe et la capacité de l’outil à s’adapter aux enjeux de la gouvernance d’un groupe en perpétuelle mutation.