Beaucoup d'entreprises pensaient peut être en avoir fini avec le réglement général à la protection des données personnelles (RGPD) après le 25 mai 2018, date de sa mise en application. A tort : cette échéance donnant plutôt le top-départ à une obligation de mise en conformité sur la durée, au risque d'encourir d'éventuelles sanctions qui ont commencé à tomber comme tout récemment Google. Véritables architectes du délicat projet RGPD dans leur organisation, les délégués à la protection des données (DPD ou DPO en anglais), ces derniers ont un rôle essentiel - voire capital - dans la réussite de mise en conformité.
Mais leur mission n'a rien d'un long fleuve tranquille. « La situation est complexe pour les délégués à la protection des données », nous a expliqué Paul-Olivier Gibert, président de l'AFCDP, à l'occasion de la 13e université de l'association française des correspondants à la protection des données personnelles le 16 janvier 2019 à Paris. « Il faut faire face à beaucoup de concurrence interne, discuter, s'ouvrir et s'interconnecter avec les autres métiers et regarder là où des problèmes ont été auparavant laissés pour compte ».
De la sensibilisation à la protection des données
Des problèmes qu'ont dû relever - et relèvent encore - de nombreux DPO comme on a pu s'en rendre compte au travers des différents témoignages mis en avant lors de la 13 université de l'AFCDP. Sur l'année écoulée, ces derniers ont en effet été confrontés à un changement d'échelle autour du RGPD : « 2018 a été une année de mise en route avec un enjeu d'appropriation du texte cerner les sujets, d'accompagnement des DPO et de sensibilisation au coeur des actions », a fait savoir Albine Vincent, responsable du service DPO à la CNIL. Pour être sûrs d'être à l'heure du RGPD, certains organismes n'ont pas hésité à prendre les devants, comme par exemple notamment de la Communauté Urbaine du Grand Poitiers : « Nous avons pris à bras le corps ce sujet depuis 2012 avec une mutualisation des CIL, des moyens et une réorganisation interne », a expliqué Yohann Brossard, DPO Communauté Urbaine du Grand Poitiers. « Il a fallu s'organiser pour passer d'une sensibilisation à une mission de protection des données ». Pour atteindre cet objectif, l'organisme est allé à la rencontre des agents, des métiers et des services pour expliquer les enjeux autour du RGPD, recenser les traitements concernés, mettre à disposition des boites à outils et mettre de la compliance RGPD dans ses relations partenaires.
Bien sûr, la mission du DPO se complique dès lors que l'organisation n'est plus vraiment à taille humaine, comme peut l'être un grand ministère régalien tel que l'Education Nationale. « RGPD est un processus qui touche 1 million de personnes et implique 8 000 responsables de traitements et 36 000 écoles avec des données concernant les familles, les enfants qui sont sensibles à un niveau politique », a expliqué Gilles Braun, DPO du ministère de l'Education Nationale). « Personne n'était vraiment au courant du RGPD avant mai, il a fallu mettre en place une organisation par périmètre de responsabilité, transversale, sans empiéter sur les services juridiques et les métiers, ce qui est une grande difficulté et nécessite un travail diplomatique quotidien ». Depuis mi-2018, la situation a beaucoup changé avec une prise de conscience tant de l'administration que de l'inspection académique qui amène aujourd'hui à même faire référence à la protection des données personnelles dans les manuels scolaires. Mais il reste encore pas mal de travail à faire : « La difficulté c'est de découvrir tous les traitements opérés, cartographier les flux de données entre les collectivités territoriales et les flux internes vers l'extérieur avec les éditeurs et les partenaires sociaux.
Marine Ahuat Woodge, DPO de la Française des Jeux a présenté la façon dont l'entreprise est à l'écoute de ses clients pour faire évoluer la présentation de la gestion des données personnelles. (crédit : D.F.)
Ecouter la voix du client et accepter la remise en cause
Il n'y a pas que dans les organisations publiques qui sont concernées par RGPD. C'est évidemment également le cas pour les entreprises privées comme Ubisoft ou encore la Française des Jeux qui ont également apporté leur témoignage lors de l'événement organisé par l'AFCDP. « Il y a un an on était encore loin de la conformité RGPD et il a fallu remplacer nos processus d'information auprès de nos utilisateurs sur leurs droits d'accès aux données et le tracking de leur activité », a fait savoir Judicaël Phan, DPO d'Ubisoft.
« Le RGPD c'est d'abord une exigence de concision », a indiqué de son côté Marine Ahuat Woodge, DPO de la Française des Jeux. Depuis deux ans, la société explique ainsi à ses clients ce qui est fait de leurs données personnelles, non sans rencontrer des difficultés en raison de perceptions divergentes. Afin de remédier à cette situation, la FDJ a mis en place un plan stratégique orienté client, sous l'impulsion de la direction générale. Ce dernier est articulé autour de plusieurs étapes : collecte d'informations multicanal (files d'attentes, magasins, plaintes clients...), analyse et mesure des tendances clients, call back, priorisation des demandes, détermination du manquement de satisfaction, réponse aux manques de satisfaction et communication sur les réponses apportées. Dans le cadre de son projet RGPD, la FDJ a également rencontré 300 clients et mobilisé 50 collaborateurs à des fins de valorisation et de co-construction de la démarche. « On a ouvert les yeux, les retours clients nous ont été précieux sur une incompréhension de l'utilisation faite de leurs données personnelles », explique Marine Ahuat Woodge. A la suite de quoi, de nouveaux rendez-vous clients ont été organisés en novembre dernier pour tenir compte des remarques. « On s'inscrit dans un cercle vertueux que l'on veut maintenir. Il faut aller vers les clients et accepter d'être remis en cause ».
Commentaire