Chez Handiness nous avons définitivement adopté le mode projet.
Il était déjà établi qu’il était nécessaire de se caler sur les grands projets des organisations pour arriver à embarquer les acteurs de terrain. Le plus difficile était de respecter des programmations établies qui se heurtaient avec les impératifs du quotidien.
Dès le début de la pandémie, nos clients, tous issus des secteurs social, médico-social ou sanitaire, ont été très fortement mobilisés par la gestion de la crise sanitaire. Et il faut bien l’avouer, l’objectif de la mise en conformité des organisations vis-à vis de la protection des données a été relégué dans le fond du peloton des priorités.
Alors voici 5 points qui résument les principes à ne pas oublier selon Handiness.
1. Pas de projet RGPD, mais un peu de RGPD dans tous les projets !
Un grand projet RGPD, transversal et tentaculaire a de quoi faire peur, et vouloir revisiter toutes les pratiques, « rien que pour » mettre en conformité ne fonctionne pas dans les organisations.
Alors on fait du « Privacy by Design » : lorsque les acteurs sont mobilisés sur un sujet, ajouter la protection des données est relativement naturel, pour peut que l’on interroge sur les pratiques et que l’on pose les bonnes questions :
· Quelles sont les données collectées ?
· Pourquoi ces données sont-elles collectées ? sont-elles nécessaires et doivent-elles être aussi précises ?
· Qu’est-ce qui permet de collecter ces données ? un contrat dont la personne est signataire, une obligationlégale ?...
· A qui seront-elles transmises ? pour quels usages les destinataires ont à les connaitre ?
· Combien de temps sont-elles conservées et cette conservation garantit-elle leur sécurité ?
2. La conformité est un marathon, n’espérez pas aller vite
Certes cela est long et demande une agilité du DPO pour se calquer sur les sujets de la structure, mais la mise en conformité, n’est pas un sprint.
Car la démarche ne s’arrêtera jamais, puisque les pratiques et les méthodes changent tout au long de la vie de la structure, et les supports évoluent vers de plus en plus de numérique.
3. L’indispensable lien avec la qualité
Le pire ennemi d’une gestion efficiente des données, ce sont les usages.
Des process non écrits ou non connus laissent chaque utilisateur créer ses propres outils (en particulier sur Excel). Ce qui crée un Shadow IT, dont les inconvénients sontmultiples.
· Les pratiques sont parcellaires etnon harmonisées entre les établissements
· Un salarié qui change d’établissement doit redécouvrir de nouvelles pratiques, d’où une perte de temps et d’énergie
· Les outils créés ne survivent souvent pas au départ de leur créateurs
· Risque de perte d’un historique
4. Accompagner sur le terrain
La conformité s’adresse à toutes les données, qu’elles soient papiers ou numériques, mais le sujet du changement qui doit être accompagné est la part grandissantedu numérique dans les organisations.
· Ne pas parler un langage juridique ou technique. Pour intéresser les acteurs, parler de leur métier : la prise en charge en face d’éducateurs, des pratiques RH lorsque l’on s’intéresse aux données des salariés
· Faire le lien avec la déferlante portée par l’Agence du Numérique en Santé. Le parcours de vie implique de lacommunication et de la coordination entre les acteurs
5. Ne pas oublier quand on est passionné par le sujet… que l’on sera souvent le seul dans l’organisation
Pour que cela change, il faut convaincre de l’utilité de la protection des données dans l’organisation. Que la démarche permet autre chose que la conformité à une obligation légale. Faire levier pour une harmonisation des pratiques par exemple.