Une nouvelle ligne hiérarchique
Pour assurer leur mise en conformité et garantir le respect du règlement, la plupart des entreprises ont revu leur organisation en nommant un Délégué à la Protection des Données (DPO), ainsi que des référents par entité, pays et filiale pour les groupes internationaux. Plusieurs cas de figure sont possibles pour cette nouvelle ligne hiérarchique : elle peut être exclusivement consacrée au GDPR et directement rattachée à la Direction Générale (avec un DPO dédié qui dispose de relais dans les entités), ou intégrée à une équipe existante, au sein de laquelle un responsable juridique ou informatique devient DPO. Mais cette nouvelle organisation est-elle vraiment suffisante pour dynamiser la gouvernance de la donnée ?
Vers un fonctionnement transverse
Parce qu’il concerne toutes les entités métiers utilisant des données personnelles, le GDPR impose aux organisations un fonctionnement transverse pour le traitement de la data. Or, ce fonctionnement n’est pas forcément habituel pour des entreprises françaises, dont beaucoup fonctionnent davantage en silos. Les priorités des entités l’emportent encore trop souvent sur la mise en place du règlement, et les comités ou les groupes de travail peuvent avoir des difficultés à impliquer les collaborateurs sur le terrain. Le DPO et son réseau de responsables en charge de l’application du GDPR ont donc pour mission d’injecter de la transversalité au sein de l’entreprise, au service d'un usage responsable et efficace des données.
Une culture de la protection des données à infuser et diffuser
Pour Anne Kent, Directrice des Activités de Conseil d’Orange Cyberdefense, « une conformité pérenne au GDPR nécessite un système de management de la protection des données qui se consolide dans le temps ». La prise en compte de la protection de la vie privée, comme le management transverse de la donnée, représentent un changement culturel profond et urgent. Comment sensibiliser équipes et managers à un usage responsable des données personnelles ? La formation a ici un rôle clé : l’entreprise pourra par exemple mettre en place des ateliers portant sur la compréhension du GDPR et les bonnes pratiques quotidiennes en matière de data. Objectif : faire du respect du règlement un réflexe de chaque instant pour tous les métiers.
Se faire épauler pour guider les directions métiers
Selon une étude IDC, seules 5 % des entreprises ne se font pas accompagner sur le sujet du GDPR… Des banques et compagnies d’assurances aux opérateurs d’Importance Vitale et à leurs sous-traitants, rares sont ceux qui relèvent seuls ce challenge ! Votre entreprise peut aisément s’entourer de professionnels du conseil pour le cadrage, la feuille de route et la mise en place d’une gouvernance dynamisée. Les équipes peuvent aussi être accompagnées dans la priorisation des urgences lors de la mise en conformité de leur entité. Le recours à des consultants externes peut enfin permettre l’introduction de méthodes transverses et de nouveaux modes de travail (méthode agile, gestion de projet). Elles pourront aider l'entreprise à motiver les collaborateurs et à dynamiser la gouvernance de la data.
L’un des premiers bénéfices de cette gouvernance dynamisée sera la faculté de votre organisation à mieux recenser les données en sa possession et d’explorer en profondeur l’univers des données personnelles.
