Le RGPD : conséquences pour l’organisation interne de l’entreprise

Le Règlement Général pour la Protection des Données définit les rôles de « Responsable de Traitement » (RT : celui qui définit la finalité des traitements), et de « Sous-Traitant » (SST : qui met en œuvre ce qui demandé par le RT), en insistant sur le lien contractuel qui doit exister entre les 2 pour préciser les responsabilités respectives.

Certaines entreprises ont décliné ces notions dans de nouveaux référentiels contractuels.

Les premiers concernés sont les prestataires, pour éviter de porter des responsabilités qui ne seraient pas les leurs, au regard des risques et pénalités qui leur sont associés dans le RGPD (rappel : jusqu’à 4% du CA Groupe en cas de perte de données à caractère personnel).

En matière d’organisation des entreprises, le modèle contractuel entre « clients / fournisseurs internes », est couramment utilisé pour normaliser et formaliser les relations entre départements et divisions.

En quoi le modèle RT / SST proposé par le RGPD peut-il avoir une incidence sur l’organisation interne pensée en termes de relations entre le métier ou la MOA (le « RT ») et la DSI / MOE (considérés comme le « SST ») ?

A priori, le RGPD ne traite que de relations entre personnes morales et q n’intervient pas dans l’organisation interne de ces personnes morales.

Mais passera-t-il lorsqu’une entreprise et son dirigeant seront condamnés à payer une lourde pénalité (et les frais afférents dont on ne parle que rarement, par exemple la mise en conformité du Si défaillant), en cas de violation de données personnelles ?

En toute logique, on cherchera à comprendre pourquoi, comment et par qui « le scandale est arrivé » … au moins pour éviter de futurs déboires .., au plus pour « chercher des responsables ».

Face à de tels enjeux, cet aspect aujourd’hui méconnu de l’application du RGPD, devrait faire l’objet d’une politique d’un système de délégations traduisant en interne la vision qu’elle a des rôles et responsabilités définis par le RGPD et lui permettant d’être mieux alignée face à ces enjeux.

De la même manière,  qu’en son temps, la mise en œuvre de la « Loi de Sécurité Financière » avait conduit à redéfinir de façon précise la chaîne d’organisation du contrôle interne.

Une telle démarche offre plusieurs avantages :

·      elle est la première et claire démonstration que l’entreprise a pris en compte le RGPD et s’est mis « en ordre de bataille » ; un premier élément de la preuve à apporter en cas de contrôle ou d’enquête

·      elle permet de mobiliser tous les acteurs de l’entreprise autour de la politique de protection des données et notamment les métiers :

o  en précisant les exigences issues du RGPD et en en affectant le suivi « à qui de droit », les responsabilités des « business » (« RT »)s’éclaireront au regard d’une situation actuelle ambigüe : les métiers sont-ils toujours bien conscients de leurs rôles en termes de maîtrise de la finalité des traitements, du juste usage des données, de leur protection ? Les outils d’analyse de risques deviendront un pivot central dans ce dialogue nécessaire entre métiers / MOA et MOE

o  la MOE (DSI pour faire au plus simple) , comme « SST », sera aussi mieux en mesure de jouer son juste rôle ; notamment dans le conseil aux métiers sur les mesures pertinentes et adéquates pour maîtriser les risques

o  il apparaîtra à cette occasion le besoin de redéfinir le rôle de RSSI / CISO, en l’élargissant à l’animation transverse d’une « vraie » gouvernance métier / MOA / MOE, bien au-delà d’un positionnement plutôt technique constaté aujourd’hui

·      en diffusant le suivi des exigences au plus proche du terrain l’entreprise aura un meilleure maîtrise de leur bonne application, plutôt que d’avoir à contrôler un vaste ensemble de données et de traitements de manière centralisée

·      en contrepartie, le contrôle d’application définit de fait un nouveau rôle pour les entités internes en charge de la conformité (contrôle de gestion, audit interne..).