RGPD : Chacun doit jouer une partition de concert… et sans fausse note
Par Jean-Pierre Blanger, Directeur Solutions, Services & Innovation chez Ricoh France
La conformité au Règlement Général de Protection des Données (RGPD) concerne tous les collaborateurs de l’entreprise. Elle dépend autant des acteurs de l’organisation que l’harmonie d’un concert concerne tous les musiciens d’un orchestre. A la moindre fausse note, le résultat peut être catastrophique. A la moindre faille de sécurité, la non-conformité peut l’être tout autant.
Si le chef d’orchestre, le PDG de l’entreprise, délègue à son DPD (Délégué à la Protection des Données ou en anglais DPO : Data Protection Officer - https://www.cnil.fr/fr/designation-dpo), il n’en reste pas moins que pour le tempo de la mise en conformité, la responsabilité de chaque collaborateur de l’entreprise est engagée. Si chaque musicien contribue à la beauté de l’œuvre musicale, chaque collaborateur est porteur de la sécurité et de la confiance placée dans les processus de l’entreprise.
Pour continuer avec cette métaphore, dans un orchestre, chacun est responsable de s’entraîner à jouer une partition pour toujours s’améliorer et en particulier, à prendre soin de son instrument pour qu’il donne toujours la meilleure sonorité. Dans l’entreprise, la démarche est similaire, chaque collaborateur ou service, est conduit à s’interroger régulièrement sur les données et les traitements et à veiller en permanence au respect des consignes de sécurité pour s’assurer de rester en conformité.
Plus que pour toute autre activité de l’entreprise, la justesse du musicien est attendue dans l’action de chaque collaborateur. Il est exigé de chacun, des attendus dont nous mentionnons ici quelques exemples :
Marketing
Les obligations principales du marketing concernent la clarté dans la finalité de la collecte des données clients, avec un souci de totale transparence des données collectées et la mise à disposition de capacités de mise à jour par le propriétaire des données. On peut noter aussi l’obligation de destruction des données de prospection au-delà de 3 ans.
Les obligations principales du marketing concernent la clarté dans la finalité de la collecte des données clients, avec un souci de totale transparence des données collectées et la mise à disposition de capacités de mise à jour par le propriétaire des données. On peut noter aussi l’obligation de destruction des données de prospection au-delà de 3 ans.
Pour s’assurer de respecter ces principes, le choix d’une base centralisée avec des données marquées (nature et date) s’avère généralement nécessaire pour en faciliter la gestion et en maîtriser plus facilement la sécurité.
Communication
L’obtention du consentement (Opt-in) préalable à l’adressage de messages promotionnels, est exigé au même titre que la mise à disposition d’une capacité à répudier le consentement (Opt-out) – (https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique). Sur le site web de l’entreprise, la politique de cookies appliquée et les mentions légales du site doivent être documentés avec la plus grande clarté. Une communication d’entreprise maîtrisée des messages portés est dorénavant, et plus que jamais, responsable de la gestion précise des droits des destinataires.
L’obtention du consentement (Opt-in) préalable à l’adressage de messages promotionnels, est exigé au même titre que la mise à disposition d’une capacité à répudier le consentement (Opt-out) – (https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique). Sur le site web de l’entreprise, la politique de cookies appliquée et les mentions légales du site doivent être documentés avec la plus grande clarté. Une communication d’entreprise maîtrisée des messages portés est dorénavant, et plus que jamais, responsable de la gestion précise des droits des destinataires.
Vente
Si le marketing et la communication génèrent des opportunités qualifiées, on peut penser réaliser des ventes et engager dès lors, un dialogue en profondeur avec les représentants du client. Cette relation peut conduire dans le Service à des contrats pluriannuels, au cours desquels les échanges contribuent à construire de solides relations humaines.
Si le marketing et la communication génèrent des opportunités qualifiées, on peut penser réaliser des ventes et engager dès lors, un dialogue en profondeur avec les représentants du client. Cette relation peut conduire dans le Service à des contrats pluriannuels, au cours desquels les échanges contribuent à construire de solides relations humaines.
Pour autant, la responsabilité de l’entreprise en fin de contrat de service, ou de vente, consiste à détruire les documents échangés lorsqu’ils ne présentent plus d’intérêt administratif. Des délais de 3 ou 5 ans après une fin de projet client sont généralement admis.
Projet
Dans les projets, la collecte des données à caractère personnel doit être adéquate, pertinente et limitée à ce qui est absolument nécessaire au bon accomplissement de la réalisation de la vente ou du service.
Les intervenants sur un projet doivent impérativement respecter les règles d’assurance sécurité du client et s’assurer que les documents du projet sont isolés, identifiés avec un accès restreint aux seules personnes porteuses de missions sur ledit projet. Il convient de limiter l’accès aux données à caractère personnel.
RH
L’accompagnement des employés dans leurs comportements est essentiel pour assurer la confidentialité des données à caractère personnel. Il est mené par des formations et des campagnes de sensibilisation, le respect d’une charte informatique (https://www.cnil.fr/fr/securite-informatique-sensibiliser-les-utilisateurs) et la mise en œuvre de bonnes pratiques à respecter. La direction des RH regroupe de nombreuses dispositions au sein du Code de Conduite des employés.
L’accompagnement des employés dans leurs comportements est essentiel pour assurer la confidentialité des données à caractère personnel. Il est mené par des formations et des campagnes de sensibilisation, le respect d’une charte informatique (https://www.cnil.fr/fr/securite-informatique-sensibiliser-les-utilisateurs) et la mise en œuvre de bonnes pratiques à respecter. La direction des RH regroupe de nombreuses dispositions au sein du Code de Conduite des employés.
Juridique
Il est généralement attribué au département juridique la conduite des opérations de documentation des registres de traitement de données, et des Mesures Techniques et Organisationnelles de Protection. Il leur est aussi confié la mise à jour de tous les contrats commerciaux pour clarifier la prise en compte de la conformité RGPD entre le client et son fournisseur, ou prestataire. Cela offre notamment l’occasion de clarifier les contrats de prestations si cela est requis.
Il est généralement attribué au département juridique la conduite des opérations de documentation des registres de traitement de données, et des Mesures Techniques et Organisationnelles de Protection. Il leur est aussi confié la mise à jour de tous les contrats commerciaux pour clarifier la prise en compte de la conformité RGPD entre le client et son fournisseur, ou prestataire. Cela offre notamment l’occasion de clarifier les contrats de prestations si cela est requis.
Finance
Les services financiers de l’entreprise font circuler les documents et conservent des pièces administratives obligatoires pour la gestion de la conformité. Ils doivent impérativement contrôler et tracer la circulation des documents. L’archivage électronique, dans le respect des durées de conservation (https://www.service-public.fr/professionnels-entreprises/vosdroits/F10029), sécurise les données à caractère personnel en limitant l’accès aux informations.
Les services financiers de l’entreprise font circuler les documents et conservent des pièces administratives obligatoires pour la gestion de la conformité. Ils doivent impérativement contrôler et tracer la circulation des documents. L’archivage électronique, dans le respect des durées de conservation (https://www.service-public.fr/professionnels-entreprises/vosdroits/F10029), sécurise les données à caractère personnel en limitant l’accès aux informations.
IT
Le service informatique de l’entreprise est, à l’évidence, un risque majeur pour la sécurité des données à caractère personnel et il a souvent une responsabilité marquée dans la notification des violations de données. Pour sécuriser le système d’information, la certification ISMS (Information Security Management System - https://certification.afnor.org/en/numerique/information-security-management-systems-iso-27001) à l’aune de la norme ISO 27001 est essentielle. Elle permet notamment une parfaite gestion des incidents de sécurité.
Le service informatique de l’entreprise est, à l’évidence, un risque majeur pour la sécurité des données à caractère personnel et il a souvent une responsabilité marquée dans la notification des violations de données. Pour sécuriser le système d’information, la certification ISMS (Information Security Management System - https://certification.afnor.org/en/numerique/information-security-management-systems-iso-27001) à l’aune de la norme ISO 27001 est essentielle. Elle permet notamment une parfaite gestion des incidents de sécurité.
Il faut aussi compter sur la vérification des conditions de sauvegarde et la mise en œuvre de dispositifs de sécurité contre les malwares ou les intrusions, indispensables pour garantir la sécurité des données.
Enfin, on note que la gestion des périphériques, notamment des systèmes d’impression comme les multifonctions, par des outils de supervision et des technologies de chiffrage des flux, sont à implémenter.
Services
La gestion des services rendus, d’entreprise à entreprise ou d’entreprise à consommateurs, méritent une attention toute particulière. La description des instructions du client et des traitements réalisés est une exigence forte de la conformité au RGPD. Il convient de revisiter les conventions de services afin d’y apporter toutes les précisions utiles à la prise en compte de la réalité des opérations engagées. Il peut aussi s’avérer nécessaire d’arrêter certaines prestations n’offrant pas toutes les garanties.
La gestion des services rendus, d’entreprise à entreprise ou d’entreprise à consommateurs, méritent une attention toute particulière. La description des instructions du client et des traitements réalisés est une exigence forte de la conformité au RGPD. Il convient de revisiter les conventions de services afin d’y apporter toutes les précisions utiles à la prise en compte de la réalité des opérations engagées. Il peut aussi s’avérer nécessaire d’arrêter certaines prestations n’offrant pas toutes les garanties.
Support technique et maintenance
Si le premier niveau de support et de maintenance est généralement mené par l’entreprise utilisatrice des logiciels ou des matériels utiles aux traitements de l’entreprise, il est fréquent de faire appel à des tiers pour les niveaux 2 et 3 de maintenance. Il s’agit alors de revenir aux principes des contrats de services et parfois d’ajouter des principes spécifiques en raison du caractère opérationnel de ces dispositifs. A titre d’exemple, lorsqu’un constructeur de multifonctions, comme Ricoh, fait intervenir ses techniciens sur un site client, son intervenant est formé à des comportements clés. Il lui est notamment interdit de démarrer une opération de maintenance s’il observe qu’un document est resté abandonné sur un équipement.
Si le premier niveau de support et de maintenance est généralement mené par l’entreprise utilisatrice des logiciels ou des matériels utiles aux traitements de l’entreprise, il est fréquent de faire appel à des tiers pour les niveaux 2 et 3 de maintenance. Il s’agit alors de revenir aux principes des contrats de services et parfois d’ajouter des principes spécifiques en raison du caractère opérationnel de ces dispositifs. A titre d’exemple, lorsqu’un constructeur de multifonctions, comme Ricoh, fait intervenir ses techniciens sur un site client, son intervenant est formé à des comportements clés. Il lui est notamment interdit de démarrer une opération de maintenance s’il observe qu’un document est resté abandonné sur un équipement.
Evidemment de nombreuses autres « partitions », dont les notes de musique sont les documents circulants dans les organisations, sont à maîtriser par les « maestros » de l’entreprise. Ces processus métiers, qui s’ajoutent aux quelques exemples que nous avons mentionnés, trouvent toute leur motivation dans le règlement général de protection des données que l’on peut consulter sur le site de la CNIL (https://www.cnil.fr/fr/reglement-europeen-protection-donnees).
Nous l’avons illustré au fil de cet article, le renforcement obligatoire des pratiques de sécurité pour la conformité au RGPD, nous permet de conclure que l’enjeu principal est la confiance dans l’entreprise. Ceux qui adoptent ces pratiques en tirent à l’évidence un avantage concurrentiel sur leur marché. Plus la musique est belle, plus le succès client est grand.