Chaque semaine est l’occasion pour nous de rencontrer de nouveaux DPO.
L’objectif est toujours le même : échanger avec eux sur les initiatives mises en place et les outils utilisés pour la conformité au RGPD de leur organisme.
Même si « comparaison n’est pas raison », il est parfois intéressant de regarder les priorités de ses pairs quand ces derniers cherchent à maximiser leur efficacité sur un sujet aussi transverse que celui du RGPD.
Dans cet article vous allez découvrir les 5 qualités qui sont examinées en priorité lors de l’évaluation d’une solution RGPD.
Pourquoi la capacité à accélérer la mise en conformité RGPD est importante ?
Premier constat : les besoins des DPO ont évolué.
En 2016, leurs besoins se limitaient essentiellement à la centralisation des pièces justificatives et la formalisation du registre.
Pour le DPO de 2021, l’objectif est clairement celui de l’accélération.
Les organisations n’ont plus le choix : tous les délais de clémence accordés par les autorités de contrôles sont passés.
Or, nombreuses sont les organisations qui sont toujours à l’étape de la formalisation du registre ou qui n’ont pas encore réalisé leur première AIPD (Analyse d’Impact relative à la Protection des Données, PIA en anglais).
L’enjeu est donc d’aller plus vite. C’est-à-dire faire en quelques mois ce qui n’a pas été fait jusque là.
Les DPO sont également personnellement intéressés par cette accélération.
Alors que les innovations sont toujours plus nombreuses au sein des organismes, ils souhaitent pouvoir réagir vite et répondre aux sollicitations qui leur sont adressées.
L’objectif est d’être identifié comme un vrai partenaire et diminuer le risque d’être “oublié”.
5 points d’attention pour évaluer une solution RGPD ?
L’expérience utilisateur : source d’accélération pour votre mise en conformité RGPD.
Ne nous mentons pas, en tant que DPO vous allez passer un temps certain sur votre solution RGPD.
Entre le formalisme imposé, l’évaluation des mesures de sécurité ou encore les réponses aux sollicitations, la solution RGPD rentre directement en concurrence avec votre client de messagerie pour le titre de logiciel le plus utilisé.
De plus, certains DPO n’hésitent pas à utiliser la solution RGPD acquise pour asseoir leur légitimité auprès des métiers et favoriser leur collaboration.
L’expérience utilisateur est donc primordiale pour préserver votre motivation et celle de vos interlocuteurs.
Elle peut s’évaluer au travers de différents éléments : l’onboarding, l’état d’avancement, la recherche d’information, le temps d’affichage.
L’onboarding
Une solution RGPD a pour objectif de simplifier la mise en conformité d’un organisme, pas de créer un chantier supplémentaire pour DPO, qui en a déjà suffisamment à traiter.
Évaluez les éditeurs sur leurs capacités à aider les utilisateurs à prendre en main la solution qu’ils proposent. Notez s’il y a une personnalisation de cet accompagnement en fonction des différents types d’utilisateurs.
L’objectif ici est de s’assurer que le temps nécessaire à la prise en main ne vienne pas compromettre les bénéfices d’accélération promis.
L’état d’avancement
La mise en conformité RGPD est un projet.
Comme pour tout autre projet, il est nécessaire pour le responsable du projet de pouvoir identifier clairement l’avancée globale de celui-ci et les niveaux d’avancement des différents chantiers qui le composent.
Est-ce que le tableau de bord de la solution proposée vous permet d’obtenir ces différents niveaux d’avancement ?
L’objectif ici est de limiter le temps consacré à l’identification des actions à réaliser pour permettre la bonne continuité du projet.
La recherche d’information
En tant que DPO, vous allez jongler avec un nombre conséquent d’informations.
Vous en produisez, votre direction juridique en produit, votre DSI aussi… Tous vos collègues en produisent.
Ce ne sont pas les seuls. Il y a également vos partenaires, les personnes concernées et les autorités de contrôle.
Votre solution RGPD vous permet-elle de centraliser toutes ces informations ? Comment sont-elles rangées ? Combien de temps mettez-vous à identifier les informations que vous recherchez le plus souvent ? Est-ce plus rapide qu’une gestion de dossier partagé ?
Le temps d’affichage et d’enregistrement
Formaliser et compléter votre registre dans le temps doit procurer un sentiment de satisfaction. Veillez à ce qu’il en soit toujours ainsi en sollicitant l’éditeur sur le temps que met son produit à afficher un registre de plus de 100 traitements ou encore le temps nécessaire pour enregistrer une nouvelle fiche de traitement, ou la mise à jour de cette dernière.
Toutes ces secondes de perdues remettent en cause l’accélération de votre mise en conformité. Elles sont également autant d’irritants qui impactent négativement l’expérience utilisateur.
L’avancement et l’identification des futures actions
Au lendemain de l’invalidation du Privacy Shield, un DPO m’a dit : « De toute manière la conformité RGPD je n’y crois pas, il y aura toujours des choses à faire. En revanche, je crois qu’on doit rechercher à être en posture de conformité. »
La posture de conformité, c’est l’analyse régulière des efforts réalisés sur la protection des données sur une période déterminée. Quel rapport avec l’accélération ? Deux choses :
- Démontrer les avancées réalisées, les chantiers qu’il reste à traiter et être capable d’identifier les ressources nécessaires pour le faire sera sans doute la meilleure manière d’être en mesure de défendre votre budget.
- Le chemin de la conformité est long, compliqué et tortueux. Avoir une vision précise des progrès réalisés est l’un des meilleurs moyens pour garder votre motivation et celle de vos interlocuteurs sur le sujet.
L’accompagnement à la formalisation du registre
Trois ans après l’entrée en application du RGPD, rares sont les DPO qui ne savent pas comment formaliser un registre des activités de traitement.
Comment expliquer que si peu d’organismes disposent d’un registre à jour des traitements qu’ils réalisent ?
C’est une chose de connaître le contenu attendu dans le registre, cela en est une autre de savoir où trouver ces informations au sein de l’organisme. Pour cela, le DPO doit s’appuyer sur les métiers pour connaître ce qu’ils font des données, pour quelle finalité, sur la base de quel fondement, avec quels outils, etc. etc.
Nous arrivons là à l’une des principales difficultés du RGPD.
- Une personne, le DPO, sait remplir le registre des activités de traitement mais n’a pas les informations pour le faire
- Une multitude de personnes, pas forcément identifiées, disposent de ces informations, ou ont la possibilité de les obtenir mais ne savent pas remplir le registre.
Pourquoi ne pas organiser des ateliers dans lesquels DPO et métiers peuvent conjointement renseigner le registre ?
Vous le savez aussi bien que moi. Dans la pratique, c’est difficile.
Les métiers sont occupés et le DPO, bien que pourvu de nombreuses qualités et d’une forte motivation, n’a pas le don d’ubiquité.
Permettre à vos collègues d’identifier les informations dont vous avez besoin est un moyen efficace pour éviter la multiplication des réunions, diminuer les risques d’erreurs et le nombre de sollicitations qui vous sont adressées.
Ainsi, lors de l’évaluation d’une solution RGPD par un DPO, une des questions qui revient le plus souvent est la suivante : est-ce que l’accompagnement proposé par cette solution va permettre à mes collaborateurs de renseigner et mettre à jour le registre sans moi ?
La duplication des mesures de sécurité
Le « Contrôle C + Contrôle V » est identifié comme un gain de temps. C’est surtout une source d’erreurs et la manifestation que votre expertise en matière de protection des données à caractère personnel pourrait être mieux utilisée.
Les efforts réalisés par votre RSSI pour uniformiser les mesures de sécurité devraient accélérer la formalisation de votre registre des traitements.
Évaluez les solutions envisagées quant à leur capacité à dupliquer tout ou partie des mesures de sécurité d’une fiche de traitement à une autre, d’un département à un autre ou encore, d’une entité juridique à une autre.
Sans doute à ce moment-là, le gain de temps sera réel.
La réalisation des PIA
Les Analyses d’Impact relatives à la Protection des Données sont, comme leur nom l’indique, des analyses.
Ces analyses se basent sur les mesures de sécurité mises en œuvre pour assurer la sécurité des traitements portant sur des données personnelles.
Initier une analyse sans disposer des informations nécessaires est l’un des meilleurs moyens de solliciter ses interlocuteurs pour constater avec eux l’impossibilité de réaliser une AIPD.
C’est sans doute pour cette raison que les DPO souhaitent de plus en plus savoir ce que proposent les différentes solutions RGPD en matière de PIA.
- Est-ce que la solution permet une identification automatique des traitements soumis à PIA ?
- Existe-t-il une pré-formalisation des informations nécessaires à l’analyse pour permettre de se consacrer exclusivement à l’analyse et à l’identification des mesures de sécurité complémentaires ?
- Quelles sont les conséquences d’une modification réalisée sur une fiche de traitement ayant fait l’objet d’un PIA ?
L’intégration au Système d’Information
En tant que DPO, vous allez avoir besoin des métiers pour remplir le registre des activités de traitement. Vous allez également compter sur eux pour la mise à jour de ce registre. Après tout, il faut que celui-ci reflète la réalité.
Mais est-ce que vos interlocuteurs vont pouvoir (vouloir ?) assurer la mise à jour de ce registre dans le temps ? Les suivis et reportings sont nombreux dans la vie de vos collaborateurs et le fil des modifications peut facilement être perdu.
Pour parer à cette difficulté, l’intégration de votre solution RGPD au reste de votre Système d’Information peut alléger cette charge de travail. Elle peut également permettre des automatisations pour la gestion des demandes de gestion des droits, la revue des contrats, la gestion des politiques de confidentialité.
Ces possibilités et les paramétrages qui y sont nécessairement associés peuvent vous faire gagner un temps considérable. Il est néanmoins nécessaire d’apprécier la pertinence de ce type de possibilité au regard de la taille de votre organisation.
Avant de partir
Vous avez commencé à formaliser votre registre via le fichier de la CNIL ? Vous avez réalisé vos AIPD via le logiciel PIA de la CNIL ?
Rares sont les DPO aujourd’hui à considérer qu’une solution RGPD peut faire l’impasse sur l’import du travail déjà réalisé.
- Est-ce que la solution envisagée permet l’importation du registre ou des AIPD ?
- Inversement, si vous changez de solution, comment se passe la reprise des travaux déjà réalisés ?
- Sous quelle forme récupérerez-vous les données ?
Autant de points à prendre en compte afin d’être le plus libre possible dans votre souhait d’accélérer la mise en conformité au RGPD de votre organisation.
Vous êtes en train de réfléchir à l’acquisition d’une solution de mise en conformité RGPD. Et si vous tentiez la Privacy Acceleration ?