A la lecture de l’intitulé, combien d’entre vous ont levé les yeux au ciel à l’évocation du RGPD ?
Nous le savons, sa mise en application est (encore) trop souvent perçue comme une contrainte par les organisations qui peinent à se saisir du sujet. Pour Julie François, co-animatrice de notre module « RGPD : transformer la contrainte en opportunité », si l’on change son paradigme de pensée, il devient un véritable élément différenciant pour les structures. Une occasion unique de remettre les utilisateurs, usagers, clients et salariés au cœur de la gestion de leurs données personnelles.
En 2022, il est temps d’aborder l’aspect opérationnel de la protection des données, n’est-ce pas ?
Julie François, juriste, consultante et experte en protection des données pour OCTO Technology, nous parle de son action pour faire découvrir le RGPD autrement aux octos et à ses clients.
Pourquoi appréhender les enjeux du RGPD est-il essentiel pour les structures de tes clients ?
Il est primordial pour les entreprises et les administrations de sensibiliser leurs effectifs mais également de s’assurer que leur patrimoine de données soit sécurisé afin d’être conforme au RGPD. La protection des données fait partie de ces sujets qu’il ne faut pas reléguer au second plan. Les entreprises dont les manquements seraient constatés par la CNIL s’exposent à des sanctions dont les montants ont explosé ces dernières années (746 millions d’euros pour Amazon). Ces sanctions peuvent aller jusqu’à 4% du chiffre d’affaires annuel consolidé du groupe, en l’espèce, pour Amazon ces 746 M€ ne représentent “que”, si je puis dire, 0,3% du CA.
Le risque est aussi réputationnel. Je remarque en formation que les participants sont de plus en plus attentifs à la protection de leurs données. Les sanctions de la CNIL étant publiques, les entreprises sanctionnées s’exposent à une dégradation importante de leur image.
Si les administrations ne sont pas concernées par les amendes (l’Etat ne se met pas d’amende à lui-même), ces mises en demeure peuvent abîmer la confiance des citoyens dans leurs administrations.
La mise en conformité passe aussi par la collaboration entre les équipes, l’appréhension juridique ne suffit pas à sécuriser les données. Le RGPD n’est pas qu’une affaire de juriste. Les profils techniques ont un rôle clé dans la protection “opérationnelle” des données. Dès lors, il est essentiel que profils fonctionnels et techniques se comprennent pour une mise en conformité simplifiée.
Quelle est ta journée type en tant que consultante RGPD ?
J’ai principalement deux types de missions :
Une partie de cadrage avec l’équipe projet pour mettre à plat les attentes du client et se poser les bonnes questions liées à la protection des données. C’est un travail qui doit se faire en amont de chaque projet. En effet, si le projet est lancé avant d’avoir mis en lumière les risques en matière de protection des données et qu’il y a non conformité, l’équipe devra revenir en arrière et “défaire” ce qui a été fait. On ne peut pas envoyer en production des fonctionnalités manifestement contraires au RGPD.
Une deuxième partie de mes missions est dédiée à la rédaction de documents de mise en conformité, telle que l’Analyse d’Impact relative à la Protection des Données (AIPD). Ma première action est d’identifier les catégories de données qui constituent le patrimoine du SI sur lequel je travaille. Dans un second temps, d’échanger avec les développeurs et l’ensemble des équipes techniques qui protègent l’interface. L’objectif étant de m’assurer que les mesures de sécurité techniques et logistiques mises en place sont en adéquation avec le niveau de sécurité que requièrent les données recensées.
La collaboration est ici essentielle. J’ai besoin que les profils techniques, premiers concernés, me partagent les mesures de sécurité actuellement mises en place, afin de vérifier que l’existant est suffisant pour sécuriser les données, ou si nous devons mettre en place des mesures de remédiation.
Dans ma pratique, je sensibilise toujours les équipes et les encourage à collaborer au travers d’ateliers pour les intéresser au sujet et les responsabiliser.
Quels réflexes transmets-tu à ton équipe ?
Selon le rôle dans l’équipe produit, les réflexes et les actions à prendre varient. Pour un profil technique (vision large des profils chargés de développer mais aussi de sécuriser l’interface), il s’agit principalement de s’écouter et de remonter les alertes par écrit, car de mon expérience, les acteurs chargés de sécuriser l’interface ont d’eux-mêmes les bons réflexes. En parallèle, les profils plus liés au produit (PO & designers) doivent être accompagnés pour se poser les bonnes questions, et ce dès la conception, pour éviter d’avoir à “détricoter” des fonctionnalités contraires aux principes de la protection des données.
Si tous les profils ont un rôle à jouer dans la sécurisation des données, celui des développeurs et plus largement des profils techniques est essentiel, car nous sommes sur une matière qui nécessite leur intervention pour protéger effectivement les données. La matière ne s’appelle pas protection des données pour rien, ce n’est pas votre avocat externe, votre DPO ni même moi qui pourrons aller “mettre les mains dans le cambouis” et chiffrer les données par exemple.
L’important pour les équipes c’est aussi le mindset, quelque soit le rôle, il faut garder en mémoire trois choses :
- Les données personnelles sont partout. Peu importe votre secteur d’activité ou le produit que vous souhaitez lancer votre SI comprend des données personnelles.
- Il est important de comprendre son patrimoine de données pour identifier les risques et sécuriser.
- Chaque manipulation de données dans le SI est un traitement.
Mon rôle est aussi de dédramatiser des messages qui peuvent inquiéter, ce n’est pas grave mais il y a un cadre juridique et des règles à respecter.
Qu’apportes-tu de plus dans ton approche du RGPD par rapport à d’autres acteurs du conseil et de la formation ? Qu’elle-est ton OCTO Touch ?
Certainement l’aspect 360. Le binôme de formateur regroupe deux profils très complémentaires. Ils apportent des connaissances techniques et juridiques. La couverture des deux aspects est un plus pédagogique et cela permet aux participants de poser toutes leurs questions relatives à la protection des données. Cette approche “opérationnelle” qui fait la part belle en formation et en mission à la collaboration des membres de l’équipe, c’est vraiment la force de l’approche OCTO. Parce que chez OCTO nous avons la conviction que le RGPD n’est pas qu’une affaire de juriste.
Dans toutes mes formations je propose aux participants de se repositionner en tant que citoyen pour comprendre l’enjeu de la protection des données et pour mieux la projeter dans leur réalité professionnelle.
La formation RGPD d’OCTO Academy permet aux stagiaires de mettre en pratique la protection des données avec des TP adaptés selon leurs profils (développeurs, designers, PO, data scientist…) et pensés pour s’adapter aux réalités et aux outils professionnels des participants.
A propos de la formation
« RGPD : transformer la contrainte en opportunité »
Si vous pensez que votre organisation ne manipule pas “vraiment” de données personnelles ou que le consentement est la base du traitement à privilégier, cette formation est faite pour vous ! La protection des données fait partie des sujets qu’il ne faut pas reléguer au second plan. La meilleure stratégie pour être en conformité, c’est de sensibiliser l’ensemble des équipes internes et/ou produit aux enjeux de la protection des données et de la vie privée.
Venez découvrir le RGPD autrement grâce à cette formation animée par un binôme qui décortiquera avec vous les aspects juridiques et techniques de la protection des données.
Chez OCTO nous avons la conviction que le RGPD n’est pas qu’une affaire de juristes. C’est pourquoi, nous prônons une approche 360 qui met en avant la collaboration entre les équipes technique et juridique. Cette approche est également centrée sur l’utilisateur et le replace au cœur de la gestion de ses données.
Vous vous pencherez tout autant sur les sanctions de la CNIL que sur les bonnes pratiques de conception produit à l’aune de la protection des données.