Le projet GDPR / RGDP pour disposer de données clients pleinement exploitables
Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données personnelles (RGPD, ou GDPR en anglais) crée de nouvelles obligations pour les entreprises et les organismes publics concernant le traitement des Données à Caractère Personnel (DCP).
Cette réglementation européenne encadre la collecte, le recueil des consentements, le stockage, l’utilisation des données. Elle élève le niveau d’exigence en matière de sécurisation des données. Les entreprises qui exploitent les Données Clients pour enrichir la Relation Clients doivent se mettre aux normes.
Nos consultants en Données Clients vous accompagnent dans les différentes étapes de la mise en conformité GDPR de votre organisation : cadrage du projet, diagnostics, analyses d’écarts, plan d’actions, mise en œuvre.
Enjeux du règlement général sur la protection des données (RGPD)
Depuis mai 2018, toutes les organisations effectuant des traitements sur les données personnelles de résidents européens doivent respecter les règles et obligations fixées dans le RGPD. Les sanctions prévues en cas de non-respect du RGPD sont particulièrement lourdes.
Cette nouvelle réglementation impacte la majorité des entreprises privées. Elle oblige à repenser la gouvernance des données et à changer d’approche dans le traitement des données. Ce sont l’ensemble des services qui sont potentiellement concernés : le service client et le marketing, mais aussi les RH, la comptabilité ou encore le service juridique.
Nous aidons les entreprises à bien comprendre les enjeux organisationnels, juridiques et techniques concrets que font naître l’évolution du cadre réglementaire.
Pilotage du projet RGPD
La réussite d’un projet GDPR nécessite la mobilisation de l’ensemble des acteurs et services de l’organisation. Bien plus qu’un projet technique, il doit être pensé comme un projet transverse, animé par une vision commune. La raison en est simple : tous les métiers et compartiments de l’organisation sont concernés de près ou de loin par le traitement et la sécurité des données personnelles. Nous recommandons la mise en place d’une équipe projet pluridisciplinaire. D’après notre expérience, il est préférable de désigner le sponsor du projet parmi l’équipe dirigeante – surtout si le traitement des données joue un rôle central dans l’activité de l’entreprise.
Le RGPD a donné naissance à une nouvelle fonction : le Data Protection Officer, ou Délégué à la Protection des Données. Il est le pilote du projet RGPD, le chef d’orchestre de la mise en conformité. Il supervise le projet et sa mise en œuvre. Il conseille les responsables des traitements et anime les chantiers, en coordonnant les différents acteurs. Nous vous conseillons de désigner un DPO en début de projet. Les consultants en Données Clients CustUp vous aident à structurer votre projet GDPR.
Diagnostics GDPR
Dans un projet RGPD, l’une des premières étapes consiste à établir un diagnostic de la pratique actuelle. Comment votre organisation opère-t-elle les traitements sur les données personnelles ? Un état des lieux s’impose. Il est suivi d’une analyse d’écarts qui aboutit à la construction du plan de mise en conformité.
Le diagnostic RGPD est multidimensionnel. Il n’y a pas un seul, mais plusieurs diagnostics à mener :
- Le diagnostic des dispositifs de collecte. Comment les DCP sont-elles collectées par l’organisation ? Surtout : quelles sont les modalités de recueil des consentements ? Le RGPD impose en effet des règles très strictes (surtout en B2C) en ce qui concerne la collecte des consentements. C’est un point particulièrement sensible.
- Le diagnostic des bases et des flux de données. Où les données à caractère personnel sont-elles stockées ? Dans quelles bases ? Quels outils ? Comment les données circulent-t-elles dans le système d’information et à l’extérieur ? Et, dernière question mais non des moindres : En quoi consistent ces données ? Pour répondre à ces questions, l’entreprise doit procéder à une cartographie des données et des flux.
- Le diagnostic de l’utilisation des données personnelles. Quelles utilisations l’entreprise fait-elle des données qu’elle collecte et stocke ? Quelles sont les finalités poursuivies ? Ce diagnostic alimente le « registre des traitements ».
- Le diagnostic sur les traitements, mené en même temps que le précédent mais distinct de lui. Comment les traitements sont-ils réalisés ? Quelles règles ? Quels process ? Ce diagnostic aboutit à la production d’une cartographie des traitements.
Sécurité des données personnelles
Le règlement GDPR a renforcé les standards de sécurité des données. Des « mesures techniques et organisationnelles », pour reprendre les termes du règlement, doivent être mises en œuvre pour garantir un niveau optimal de sécurité des DCP. Plus les données ont un caractère « sensible », plus le niveau d’exigence est élevé.
Les organisations doivent renforcer la sécurité de leurs bases et des flux de données. Cela passe par le chiffrement des données, leur pseudonymisation, la réalisation de tests, l’établissement de procédures en cas d’incident (fuite de données…).
Mais avant tout cela, un diagnostic IT est nécessaire, portant sur la sécurité et les process informatiques. Nos consultants en Données Clients insistent beaucoup sur la question du cryptage et de la pseudonymisation d’une part, sur celle de la traçabilité du parcours de traitement des DCP d’autre part.
Ces publications pourraient également vous intéresser :
Étapes du projet de mise en conformité
Un projet de mise en conformité GDPR se compose de quatre grandes étapes :
- La définition du périmètre d’application du règlement dans l’entreprise et la désignation des acteurs du projet. Cette étape correspond à la phase initiale de cadrage.
- La réalisation des différents diagnostics pour faire un état des lieux de la pratique actuelle. Ces diagnostics sont ensuite comparés aux règles et obligations issues du RGPD (analyse d’écarts).
- La construction du Plan d’actions : sélection des chantiers & actions, hiérarchisation, ordonnancement & roadmap.
- Le déploiement des différents chantiers suivant le calendrier défini. Si la nature de ces chantiers varie d’une organisation à l’autre, un certain nombre d’entre eux sont incontournables, notamment : la mise aux normes des modes de recueil des consentements, la création du registre des traitements et d’un journal des traitements, la mise en place des mesures de sécurité.
Consultant en Données Clients, nous vous aidons dans la réussite de votre projet RGPD
Cabinet de conseil en Données Clients, CustUp accompagne les organisations dans la structuration et le pilotage des projets RGPD, sur les volets stratégique, opérationnel et technique.
Nous adaptons notre méthodologie aux attentes et besoins de chacun de nos clients. Nous accompagnons des entreprises B2B et B2C de l’étape de cadrage du projet de mise en conformité (périmètre d’application, constitution de l’équipe projet, désignation du DPO) à la mise en oeuvre des chantiers du Plan d’actions.
Besoin d'échanger ? Contactons-nous !