Les sujets liés à la mise sous contrôle des données personnelles ne vont pas disparaitre avec l’échéance RGPD du 25 mai dernier. Il est évident que les besoins des entreprises continuent d’émerger en lien direct ou indirect avec cette réglementation. En raison de sa complexité ou d’un démarrage tardif, un grand nombre d’entreprises ne sont pas pour l’heure conformes en tous points aux exigences RGPD. En conséquence, le premier niveau de contrôle des autorités portera sur les actions engagées par les entreprises davantage que sur leur capacité à répondre aux exigences du RGPD. Ceci offre un délai supplémentaire pour le déploiement de leur socle RGPD.
RGPD en mode production – une activité à part entière dans l’entreprise
À l’annonce de la directive RGPD et de sa mise en vigueur, beaucoup d’entreprises ont nommé un Data Protection Officer (DPO). Il a pour mission de soutenir la mise en conformité de l’entreprise à cette nouvelle réglementation et son maintien entre autres. Une fois la mise en conformité effective, les entreprises doivent également prévoir ressources et charges pour : animer le DPO, maintenir la cartographie des traitements des données personnelles, gérer les risques et processus internes, mener le suivi et reporting de conformité.
Rebondir sur le RGPD pour mettre les autres données de l’entreprise sous gouvernance
Le RGPD devrait sensibiliser définitivement les entreprises à la nécessité de mettre sous contrôle l’ensemble de ses données, à minima les plus sensibles.
Pour celles qui n’ont pas mené à ce jour d’initiatives autour du RGPD, c’est l’opportunité d’initier un programme de mise sous contrôle de ses données dont le projet RGPD serait la première composante.
Pour celles ayant déjà abordé le sujet RGPD, c’est l’opportunité de bénéficier du socle et des pratiques mises en œuvre dans le cadre du projet RGPD pour les adapter au reste des données de l’entreprise.
Enfin dans le cadre d’un programme de gouvernance des données, le RGPD est un cas d’usage à part entière à traiter par le Chief Data Officer en appui du Data Protection Officer.
Avec le RGPD, les données deviennent l’affaire de tous
Jusqu’à présent, assurer la qualité ou la conformité des données était plutôt une affaire d’initiés. Avec la réglementation RGPD, mieux protéger ses données personnelles touche au quotidien de chacun ! La gestion des données devient l’affaire de tous les domaines d’activité, de toutes les entreprises et de toutes ses composantes, de toutes les personnes de la société civile.
Le RGPD est l’opportunité de sensibiliser tous les acteurs de l’entreprise à l’importance des données, de leur qualité et conformité. Sans doute le point de départ d’une culture d’entreprise centrée sur les données.
Mettre sous contrôle les données, un challenge incontournable pour les entreprises
Que ce soit dans le cadre de la réglementation RGPD, des autres réglementations ou des initiatives de qualité des données, que les données concernées soient personnelles ou autres, les entreprises doivent répondre aux mêmes défis :
- Maitriser des données de plus en plus nombreuses, personnelles ou autres ;
- Identifier les données collectées, où elles sont stockées, comment elles sont utilisées et pour quel usage ;
- Identifier les responsables des données et des traitements et leurs responsabilités ;
- Maitriser les risques de fuite de données personnelles et données sensibles de l’entreprise
- Se conformer à un cadre réglementaire de plus en plus contraignant ;
Mettre ses données sous contrôle est une question vitale pour les entreprises. Les conséquences d’une non-conformité au RGPD et/ou non qualité de ses données peuvent être très coûteuses :
- Risques commercial et d’image, risque opérationnel, risque économique…
La mise sous contrôle des données passe par un programme dédié
Assurer la qualité ou conformité de ses données, personnelles ou autres, en améliorer l’accessibilité et en promouvoir l’usage nécessitent de mener de nouvelles activités au sein de l’entreprise :
- Organiser et animer la politique des données de l’entreprise
- Suivre et documenter la conformité/qualité des données de l’entreprise, remédier les données quand nécessaire
- Définir les règles de partage des données de l’entreprise
- Cartographier les données, leur processus de production et leurs usages au sein de l’entreprise ou en externe
- Sécuriser les données de l’entreprise
Avec la mise en place de moyens dédiés (ou cadre de gouvernance) au sein de l’entreprise :
- Organisation : entité transverse de type Chief Data Officer animant un réseau de correspondants Data
- Socle documentaire : charte de gouvernance, politiques qualité, responsabilités, et sécurité, normes et standards
- Outillage : outils de gouvernance (dictionnaire, lignage, responsabilités) de suivi et reporting de qualité / conformité et de remédiation.
La mise en œuvre de ces activités et moyens se fait dans le cadre d’un programme dédié, dit de gouvernance des données.