Registre des données personnelles et traitements, révision des contrats de sous-traitance, structuration de la gouvernance… le chemin parcouru est immense depuis l’entrée en vigueur du RGPD. Une grande partie du succès en entreprise repose sur le DPO, délégué aux données personnelles.
Deux ans et demi après l’entrée en vigueur du règlement général sur la protection des données personnelles en Europe (RGPD), où en sont les entreprises ?
En toute logique, elles ont structuré la gouvernance de leurs données à caractère personnel (DCP) relatives aux salariés, clients, utilisateurs, partenaires et fournisseurs… sous la responsabilité d’un délégué à la protection des données ou DPO (« data protection officer »).
La CNIL recense 21.000 DPO cette année contre 11.000 en 2019.
« Ce n’est pas si mal ! Mais nous ne sommes qu’aux deux tiers du chemin », estime Nathalie Krief, responsable du groupe de travail RGPD à la Fédération nationale des tiers de confiance (FNTC).
Selon une étude 2020 du ministère du Travail :
- 31 % de ces DPO opèrent dans des structures de plus de 1.000 salariés,
- A peine 10 % d’entre eux exercent dans des structures de moins de 10 salariés.
C’est dire s’il reste de la marge…
Former les équipes au traitement des données
Rattachés à 61,4 % au N-1, les DPO opèrent le plus souvent dans le cadre d’un comité de pilotage qui rassemble au minimum la direction générale, la direction informatique et le service juridique.
« Nous nous réunissons deux fois par an, décrit Laetitia Reina, DPO chez le bailleur social Alpes Isère Habitat. A chaque nouveau projet, par exemple les bâtiments connectés expérimentaux, la conformité au RGPD intervient dès la conception. Une fois l’expérimentation terminée, nous détruisons les DCP.Cette pratique est désormais bien inscrite dans notre culture d’entreprise. » Laetitia Reina a de la chance : elle fait partie des 25,8 % des DPO qui exercent leur mission à temps plein.
Pour diffuser les bons réflexes en matière de données, le DPO doit parfois donner de sa personne. En témoigne Dominique Bricot, DPO pour les 2.700 entités juridiques du réseau Aide à domicile en milieu rural (ADMR) qui emploie 35 personnes au niveau national. « Pendant six ans, j’ai fait le tour de France pour accompagner chacune de nos 87 fédérations départementales vers la mise en conformité au RGPD. Après quatre ans d’audit, j’ai formé 233 relais départementaux salariés et bénévoles », explique Dominique Bricot. Soins infirmiers, aide au ménage, à la toilette… l’ADMR est une immense organisation de 95.000 salariés et 85.000 bénévoles qui s’occupent d’environ 800.000 personnes au quotidien.
Si toutefois, des entreprises n’avaient pas encore pleinement intégré cette pratique, il est encore temps d’être conforme à la protection des données personnelles et ses évolutions, en participant à une formation rgpd.
Supprimer les données ou les anonymiser
Le DPO a pour mission principale la création et l’actualisation du registre des données et des traitements.
Ce qui soulève de nombreuses questions :
-
- Quelles applications génèrent quelles données ?
- Où sont-elles stockées ?
- Quels traitements leur applique-t-on ?
- Sur quelles bases juridiques ?
- Qui en est responsable ?
- Quels en sont les moyens de protection ?
- Quelle doit être leur durée de vie ?
« Le registre ne fait pas toute la conformité mais il donne une vision claire sur les données », souligne Nathalie Krief. Résultat : « Nous minimisons ainsi nos DCP et nous les protégeons mieux, confie Dominique Bricot. Mais cela requiert un travail quotidien énorme ! »
Le DPO veille aussi sur la cascade de prestataires et sous-traitants informatiques, en s’assurant en particulier que leurs contrats respectent les clauses RGPD. A ceci près : bon nombre d’applications professionnelles ne sont pas conçues pour gérer le cycle de vie des données. « Nous avons demandé à notre prestataire un système qui limite la collecte d’informations au strict nécessaire par les personnes idoines », précise Dominique Bricot. Tous les nouveaux développements prévoient d’intégrer une collecte différenciée des données personnelles en fonction des utilisateurs, ainsi qu’une gestion de leur cycle de vie.
L’éditeur a ainsi découpé la durée de vie des données en quatre temps :
- celui de la donnée active tant que le dossier est ouvert;
- celui de l’archive courante lorsque le dossier est clos mais qu’on a encore besoin d’y accéder;
- l’archive intermédiaire réservée à un nombre limité d’accédants;
- enfin l’archivage définitif qui prévoit soit l’anonymisation des DCP soit leur suppression.
« Très compliqué et coûteux, ce travail est toujours en cours », poursuit le DPO d’ADMR.
ERICK HAEHNSEN