Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. RGPD
  3. Un système de management
Extrait - RGPD Le comprendre et le mettre en œuvre (3e édition) - (témoignages de responsables de traitement et référents à la protection des données personnelles)
Extraits du livre
RGPD Le comprendre et le mettre en œuvre (3e édition) - (témoignages de responsables de traitement et référents à la protection des données personnelles) Revenir à la page d'achat du livre

Un système de management

Introduction

Ce chapitre décrit un système opérationnel de management des données à caractère personnel dont le but est de permettre à toute entreprise, quels que soient sa taille, son secteur, de respecter dans le temps les exigences du RGPD et de pouvoir le démontrer.

Au préalable, il nous semble utile de définir les termes suivants :

  • Mesurer, c’est obtenir expérimentalement une ou plusieurs valeurs que l’on peut raisonnablement attribuer à une grandeur de même nature.

  • Évaluer, c’est porter un jugement sur les valeurs mesurées.

  • Contrôler, c’est vérifier le respect des procédures pour rechercher la conformité ou la régularité de celles-ci. Lorsqu’un écart est constaté, des actions correctives sont à mener.

  • Piloter, c’est conduire vers un objectif.

Le système de management

1. Qu’est-ce qu’un système ?

Un système est un ensemble d’éléments interagissant entre eux de manière dynamique et en fonction d’un objectif. Pour assurer sa régulation, il dispose d’une boucle de rétroaction, appelée aussi feedback, qui permet de mesurer l’atteinte de l’objectif et d’agir en retour.

Exemple : votre système de chauffage comprend plusieurs éléments, à savoir l’énergie électrique, la résistance électrique du radiateur et l’air, qui interagissent. Dans ce système, si l’objectif est de maintenir une température ambiante de 20°, la fonction feedback est assurée par un thermostat d’ambiance qui actionne un interrupteur pour laisser passer le courant dans la résistance lorsque la température mesurée est au-dessous des 20° ou bien pour le couper lorsque celle-ci est au-dessus.

images/03DP01.png

Système de chauffage

2. Qu’est-ce qu’un système de management ?

Les modalités de gestion d’une entreprise par sa direction constituent « l’art de manager ». Ces modalités font souvent partie de la culture et de la tradition orale de l’entreprise. Cela est particulièrement vrai pour les petites et moyennes entreprises, dans lesquelles...

Conception du SMDCP

Pour concevoir le SMDCP, nous avons considéré chacune des caractéristiques énoncées précédemment et nous les avons déclinées sur le domaine concerné.

1. Finalité du système

Il s’agit d’exprimer son but : pour quoi le système de management est conçu.

Dans notre cas, le système est conçu pour : permettre à l’entreprise de respecter dans le temps les exigences du RGPD et de pouvoir le démontrer.

2. Interaction du système avec son environnement

L’environnement considéré est celui du marché intérieur de l’Europe dans un contexte d’économie mondiale qui trouve principalement sa croissance dans le numérique. La libre circulation des données à caractère personnel est un des fondamentaux de cette nouvelle économie.

Cet environnement est pour partie résumé dans les considérants 6 et 7 ainsi que dans l’article 1.3 :

  • L’évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. Ces évolutions requièrent un cadre de protection des données solide et plus cohérent dans l’Union, assorti d’une application rigoureuse des règles...

Processus du SMDCP

1. Définition

Un processus est un ensemble ou une succession d’activités réalisées à l’aide de moyens (personnel, informations, outils) pour atteindre un objectif.

Un processus peut se décomposer en plusieurs activités, qui elles-mêmes se décomposent en tâches.

La procédure est, quant à elle, une manière spécifiée d’effectuer les tâches d’un processus.

images/03DP05.png

Processus, activités, tâches

Pour décrire nos processus, nous nous limiterons aux caractéristiques suivantes :

  • Intitulé

  • Objectif

  • Activités

  • Éléments de sortie

2. Déterminer le nombre et l’intitulé des processus

Pour déterminer le nombre et l’intitulé des processus, nous avons pris en compte nos 12 domaines d’objectifs. Nous avons aussi tenu compte des systèmes qui pouvaient exister dans certaines entreprises. En effet, pour des raisons de rationalisation, nous avons pensé qu’il était intéressant de mettre en perspective une intégration potentielle du SMDCP par rapport à d’autres systèmes existants dans l’entreprise, comme par exemple le SMQ (système de management de la qualité).

Le SMQ est le système de management le plus présent dans nos entreprises. Depuis la version 2015 de l’ISO 9001, nous constatons que le SMQ se décline souvent en 10 ou 11 processus dont voici une proposition d’intitulés :

  • Revue de direction

  • Gestion du produit et du service

  • Gestion des mesures

  • Gestion de l’audit

  • Gestion des compétences et sensibilisation

  • Gestion des exigences

  • Gestion des prestataires externes

  • Gestion de la documentation

  • Gestion de la communication

  • Gestion des risques

  • Maîtrise opérationnelle

Nous avons pu faire ces mêmes observations pour le SMSST (santé et sécurité au travail), SME (environnement) et le SMSI (sécurité de l’information).

Nous avons retenu une structure à 12 processus, avec des intitulés semblables à ceux des autres systèmes de management lorsque les objectifs convergeaient.

  • Accountability

  • Traitements et transferts de données

  • Droits des personnes concernées

  • Sous-traitants

  • Privacy by design

  • Privacy by default

  • Privacy...

Outils du SMDCP

Si l’identification et l’intitulé des processus ne sont pas très lisibles dans le RGPD, les outils quant à eux sont clairement énoncés et font l’objet d’articles spécifiques.

Article 30 - Registre des activités de traitement

Article 35 - Analyse d’impact relative à la protection des données

Articles 37, 38 et 39 - Délégué à la protection des données

images/03DP08.png

Les trois outils du SMDCP (seuls deux processus sont représentés)

Ressources humaines

Le fonctionnement du système nécessite l’énergie de l’homme, mais surtout ses capacités, son habileté, ses aptitudes naturelles ou acquises, c’est-à-dire des compétences.

Nous avons identifié six compétences pour concevoir, réaliser, agir, mesurer, communiquer, former, sensibiliser, contrôler, évaluer, piloter :

  • Une compétence DPO ou référent DPO, le chef d’orchestre de la conformité.

  • Un chef de projet qui maîtrise les bonnes pratiques de la gestion de projet et qui sait intégrer les exigences spécifiques du RGPD dans les projets traitant de DCP .

  • Un spécialiste de la sécurité dont le périmètre ne se limite pas aux composants techniques de la sécurité.

  • Une expertise en analyse de risque pour réaliser les analyses d’impact relatives à la protection des données (PIA).

  • Une compétence sur la gestion de contrats pour définir et gérer la politique contractuelle.

  • Une expertise juridique sur la protection des données à caractère personnel et ses interactions avec les domaines juridiques connexes.

Six compétences ne veulent pas dire six ressources distinctes ! Un collaborateur de l’entreprise peut porter tout ou partie des compétences.

Le cas échéant, la compétence peut être portée par une ressource externe.

La compétence DPO ou référent DPO

Le RGPD et les lignes directrices nous renseignent largement sur la compétence recherchée pour remplir les fonctions du DPO.

L’article 37, paragraphe 5, dispose que le DPO « est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données...

Autres caractéristiques du SMDCP

1. Fonction de contrôle ou de feedback

La boucle de rétroaction permet de mesurer l’atteinte de l’objectif et d’agir en retour. Pour effectuer ces mesures, nous nous sommes appuyés sur la norme ISO 21827 qui définit une échelle de valeurs à six niveaux. Cette norme a pris sa source dans le domaine du développement logiciel de l’Université de Carnegie Mellon. L’échelle de valeur définit des niveaux de maturité cumulatifs.

Indicateur de niveau 0 - Rien n’est fait.

Indicateur de niveau 1 - Quelques activités sont réalisées, de manière isolée et en réaction à un événement.

Indicateur de niveau 2 - Les activités sont pour la plupart réalisées de manière planifiée et sont parfois documentées.

Indicateur de niveau 3 - Les activités sont planifiées, documentées et réalisées conformément à ce qui est défini. La direction soutient les actions.

Indicateur de niveau 4 - Les activités sont planifiées, documentées, réalisées conformément à ce qui est défini et sont contrôlées. Des mesures qualitatives et quantitatives sont effectuées.

Indicateur de niveau 5 - Les activités sont adaptées de façon dynamique au contexte. L’amélioration des pratiques est définie, standardisée et formalisée. Les évolutions sont journalisées.

L’entreprise peut ainsi mesurer la maturité des activités de ses processus.

En mesurant l’écart entre le niveau constaté et la cible qu’elle souhaite atteindre, l’entreprise peut agir au travers d’un plan de progrès.

Nom du processus

Valeur cible à atteindre

Valeur actuelle de la mesure

Actions de progrès

Privacy by design

4

1

Se former à une méthode de gestion de projet

Sensibilisation

3

0

Planifier des séances de sensibilisation

Violations de données

3

1

Détecter les violations de données

La fonction de feedback permet de piloter le SMDCP, c’est-à-dire de le conduire à son but : permettre à l’entreprise de respecter dans le temps...

Gouvernance du SMDCP

1. Qu’est-ce que la gouvernance ?

Le management des systèmes nécessite de constituer des équipes pluridisciplinaires et compétentes pour assurer son fonctionnement. La gouvernance est l’outil qui permet de structurer cette équipe afin de :

  • décider des actions à mener,

  • valoriser les résultats obtenus,

  • contrôler l’atteinte de l’objectif.

La gouvernance est le gouvernail du SMDCP. C’est l’outil qui permet d’arriver à « bon port », c’est-à-dire qui permet à l’entreprise de respecter dans le temps les exigences du RGPD et de pouvoir le démontrer. La gouvernance constitue la boucle de rétroaction du SMDCP.

Elle s’inscrit au sein du processus Accountability.

Il est probable qu’elle soit animée par le DPO ou le référent DPO.

images/03DP15.png

Un gouvernail pour arriver à bon port

2. Principes de la gouvernance

L’outil de gouvernance repose sur quatre principes qui ont pu être vérifiés par l’expérience.

images/03DP16.png

L’animateur de la gouvernance doit s’assurer du respect des quatre principes

a. Collégialité

La collégialité est le principe guidant les actions d’un groupe de personnes (le collège) ayant le même statut et assumant les décisions prises par la majorité de ses membres. La gouvernance doit porter l’effort sur la recherche du consensus avant de prendre des décisions. Pour cela, chacun des membres de l’équipe doit user de pédagogie, utiliser des termes simples et être à l’écoute des autres membres.

Par exemple, dans la phase d’initialisation d’un PIA, les membres prendront le temps de partager les termes et les définitions propres à cet exercice : scénarios de menaces, événements redoutés, vulnérabilités, gravité, conséquences, risques. Ces termes étant compris par tous, il sera plus facile d’obtenir le consensus dans la phase d’appréciation des impacts sur la vie privée.

b. Transparence du cheminement décisionnaire

La démarche qui amène à la prise de décision doit être transparente et comprise par tous. Il convient a minima de se mettre...

Intégration du SMDCP avec des systèmes de management existants

La mise en place d’un SMDCP est une démarche collective et participative qui vise aussi à concilier l’ensemble des systèmes de management existants dans l’entreprise. Lorsqu’il en existe déjà un ou plusieurs, comme celui de la qualité, il est recommandé d’étudier les rapprochements possibles avec le futur SMDCP. Il convient pour cela de prendre en compte les périmètres et les politiques qui ont été définis pour chacun de ces systèmes et de prendre connaissance de leur niveau de maturité.

Nous allons aborder trois modèles de rapprochement. Ces modèles s’appuient d’une part sur nos expériences en matière d’intégration de système de management et d’autre part sur les ouvrages disponibles, par exemple la norme FD X 50-189 qui définit les lignes directrices des modèles de rapprochement pour l’intégration de système de management.

Dans un premier temps, il convient de mettre en cohérence les systèmes existants si ce n’est pas encore fait, puis de définir des synergies possibles. La démarche n’est pas simple, mais utile pour éviter des revues de direction qui se succèdent sans aucune cohérence, des audits qui se télescopent, des opérations de sensibilisation à répétition, des termes et définitions qui se chevauchent, voire qui se contredisent, ou encore des sous-traitants sollicités tour à tour par les responsables de SM (système de management).

Le tableau ci-après est proposé pour la compréhension de notre propos, mais ne doit pas être lu comme un référentiel : chaque entreprise intitule et organise ses processus de management selon sa culture, son organisation, son marché, et il n’y a pas toujours de correspondance possible.

SMDCP

SMQ

SMSI

1

Accountability

Revue de direction...

En résumé

La mise en place d’un SMDCP doit permettre à l’entreprise d’atteindre son but : respecter dans le temps les exigences du RGPD et pouvoir le démontrer.

Le SMDCP se compose de processus, d’outils, il nécessite des compétences internes ou externes et une gouvernance. La modélisation du SMDCP en 12 processus, 3 outils et 6 compétences reste un exemple. Il appartient à chaque responsable de traitement de déterminer son propre système.

Pour des raisons d’efficience ou de rationalisation, il est suggéré d’étudier les systèmes déjà existants avant de mettre en œuvre le SMDCP.

images/03DP25.png

Système de management des données à caractère personnel : entreprise loyale, personne concernée confiante

L’expérience prouve que lorsqu’il existe déjà un ou des systèmes de management dans l’entreprise, le SMDCP est a minima synchronisé avec la revue annuelle des autres SM.