Car cette crise, va forcément à terme, mettre un coup de projecteur sur la protection des données, même si les démarches d'accompagnement ont souvent été, ce printemps, mises en hibernation ; Mais je voulais, en cette période anniversaire, rappeler quelques principes toujours d'actualité, lorsque je débute des missions dans mon domaine de prédilection : le secteur médico-social .
1 - La mise en conformité n'est jamais achevée :
Depuis mai 2018, tout organisme qui traite des données personnelles doit savoir ce que sont ces données, ce qu'il en fait, qui en est destinataire, comment il les protège etc... Ok, donc on traite l'historique, mais après ? L'organisation n'est pas figée, elle traite de nouvelles données , souscrit à de nouveaux logiciels, et il faut être capable de repérer et d'analyser tous les futurs traitements en amont de leur réalisation.
J'ai coutume de dire que les organismes doivent maintenant tenir une "comptabilité" des données à caractère personnel qui sont traitées. Donc il y a en permanence des mouvements, qui doivent être tracés dans le fameux " registre de traitement".
Et ça ne s'arrêtera jamais !
2 - La mise en conformité est un processus long et complexe :
Il ne suffit pas de mettre dans des documents quelques mentions d'informations et de collecter des consentements pour être en conformité.
Ce qui démontre la conformité, c'est aussi l'existence de procédures qui vont encadrer les collectes et les traitements de données ; La notion "d'accountability" recouvre la notion de responsabilité mais également le fait d'être capable de démontrer les processus mis en oeuvre pour garantir le respect du RGPD.
Donc la plupart du temps, on se retrouve à participer à l'écriture des procédures internes. Et la définition d'une politique de Protection des Données est essentielle.
Et si les usages existants divergent d'un acteur interne à l'autre, c'est une démarche d'harmonisation des pratiques qu'il va falloir mettre en oeuvre avant toute chose, donc une conduite du changement qui dépasse de loin le contexte du RGPD.
3 - Le respect du RGPD ne peut pas être que le problème du DPO et de quelques acteurs dans la structure.
Dans les premières années d'application de la loi informatique et liberté (1978), l'utilisation et la collecte de données à grande échelle n'étaient réalisées que par l'Etat et quelques grandes entreprises. On a donc imaginé à l'époque, un système où les acteurs allaient requérir une autorisation de la CNIL pour collecter et traiter les données. En retour, la CNIL émettait des normes simplifiées, ou des autorisations uniques correspondant aux traitements les plus courants. Des contrôles intervenaient en cas de dérapage pour finir de consolider l'ensemble. Je simplifie la description, c'est la suite qui est importante.
Car l'utilisation accrue du numérique et l'évolution des techniques engendrant une augmentation croissante du volume de données et de modalités de traitement*, la protection des données se retrouve positionnée comme une nouvelle composante de la vie quotidienne de tout organisme, quelle que soit son activité.
Il est donc nécessaire que la sensibilisation a la protection des données soit collective et orchestrée, afin que les questions qui se cachent derrière le QQQOCP**, soient à l'esprit de tous les opérateurs qui ouvrent une nouvelle feuille de tableur Excel.
4 - Considérer le RGPD comme un projet à part est une erreur qui générera à coup sûr l'échec de la démarche.
Compte tenu du sujet à spectre large, il faut s'adresser à tous les acteurs en leur parlant de leurs pratiques, de leurs projets et ajouter à chaque fois une pincée de protection des données.
Il faut respecter le tempo de chaque association, pour adapter le déroulement de la démarche aux préoccupations et projets du moment : il n'existe pas de recette miracle, juste des outils pour la réaliser. J'ai coutume de dire qu'une démarche RGPD, c'est de la haute couture, pas du prêt-à-porter 😉.
La définition de votre projet RGPD doit consister à mettre un peu de RGPD dans chacun de vos projets en cours, c'est la clef de la réussite
5 - Le DPO s'adapte à votre rythme ; il doit comprendre les préoccupations de chacun et permettre une application du RGPD, en accord avec les législations applicables à vos domaines d'activités. Il doit rarement dire "non", mais plutôt trouver avec vous les moyens de faire, en respectant toutes les obligations qui vous incombent. L'acteur principal de la réussite de la démarche, c'est la structure toute entière, et le responsable vis-à-vis des évaluateurs n'est pas le DPO, mais l'organisme incarné par son représentant légal. A vous d'intégrer votre DPO à toutes les prises de décisions impliquant des collectes et des traitement de données.
Ne laissez pas le DPO devenir un fakir en lévitation au dessus de l'organisme, c'est votre allier, pas un empêcheur de tourner en rond 😉
* : le volume de données augmente de 61% tous les ans et cela devrait perdurer jusqu'en 2025 d'après le Livre blanc IDC " The digitalization of the world Edge to Core"
** : Questionnaire de Quitilien : « Qui ? Quoi ? Où ? Quand ? Comment ? Combien ? Pourquoi ? »