Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

RGPD : Comment appliquer le règlement sans faire dérailler l’entreprise

janvier 2018 par Faten Ltaief, Consultante Change Management Provadys et Luc Delpha Lead Information Security Provadys

La mise en conformité au RGPD implique des transformations profondes au sein des entreprises. Qu’elles soient abordées de manière, incrémentale ou radicale, la réussite de de ces transformations conditionnent l’impact positif ou négatif du RGPD sur les performances des entreprises.

Faten Ltaief, Consultante Change Management Provadys

Luc Delpha Lead Information Security Provadys

Ces transformations impliquent en premier lieu la garantie de l’adhésion des acteurs concernés (chef de projet, métiers, etc.) au projet de mise en conformité et leur compréhension et implication dans le processus.
Ainsi, les entreprises, au-delà de la sensibilisation, n’ont-elles-pas besoin d’une démarche spécialisée intégrant des leviers de la conduite du changement ? n’ont-elles-pas besoin d’un suivi complet pour assurer la pérennité de la conformité ?

L’intégration de la gestion ou de l’accompagnement au changement s’impose donc comme un facteur clé de toute démarche de mise en conformité RGPD.

RGPD : l’entrée en vigueur s’approche

Le Règlement Général sur la Protection des Données (RGPD) s’appliquera en mai 2018 à toute entreprise qui collecte, traite et stocke des données à caractère personnel. Ce règlement a donc un impact direct sur la manière dont les données personnelles sont collectées et stockées. Ainsi, toute entreprise est obligée à se conformer au nouveau règlement.

Les impacts du RGPD sur l’organisation

La mise en conformité induit des impacts au niveau de l’organisation, de la gouvernance (DPO) et des processus métier qui doivent s’adapter aux nouvelles exigences en matière de traitement et de protection des données, selon la nouvelle loi. Le sujet de conformité RGPD implique plusieurs dimensions et aspects autres que le réglementaire à savoir : techniques, organisationnels, humains, financiers et temporels. Une approche transversale et globale est ainsi sollicitée.

À travers la mise en œuvre des différents process imposés par le RGPD tels que : la gestion des demandes DCP des clients, la notification des failles de sécurité, l’intégration du « Privacy by design » dans la gestion des projets et la création d’un poste de DPO, les entreprises se trouvent face à un changement au niveau des processus, de l’organisation et enfin, au niveau des technologies mises en place dans son entreprise.

Une obligation de déploiement de nouvelles pratiques

Dans un processus de mise en conformité RGPD, il y a plusieurs métiers/ chefs de projet qui sont concernés et qui sont amenés à changer leurs modalités de travail, leurs pratiques quotidiennes pour en intégrer d’autres « imposés ».

Ainsi, il pourrait y avoir des risques de dimensions humaines à la suite de l’instauration des processus nécessaires à la conformité comme par exemple : la résistance des chefs de projet, l’incompréhension et l’adhésion non globale aux nouvelles pratiques, l’amplification du stress au travail, etc.

Assistant, chef de projet, manager, directeur, responsable, associé, président, quelle que soit la position occupée, toute démarche d’épluchage des bases de données, des pratiques et routines de travail, des applications mises en place, etc., peut induire des activités qui ne sont pas nécessairement plaisantes ou bien intégrées dans le quotidien de chaque acteur. Par ailleurs, le processus de conformité RGPD doit intégrer l’accompagnement des acteurs pour les aider à être « souples » et non réfractaires vis-à-vis de cette transformation.

RGPD : un projet de changement à gérer ?

« TRANSFORMER, cela nous semble impossible jusqu’à ce qu’on le fasse » Nelson Mandela

La mise en conformité RGPD au sein d’une entreprise est un projet de changement ayant comme finalité l’adaptation aux contraintes réglementaires. Cela semble être un « fardeau » pour plusieurs entreprises qui doivent aménager et transformer leurs organisations internes dans des délais très contraints.
Mais, ce projet de changement, comme toute situation de changement, présente une rupture dans le fonctionnement habituel. Ainsi, gérer ce changement implique la mise à disposition des entreprises des méthodes et des outils qui permettent de gérer la transition menant d’une situation initiale vers une destination souhaitée.

Qu’en pense Provadys : au-delà de la sensibilisation classique, un suivi complet voire une prise en charge spécifique est nécessaire pour accompagner la transformation

Provadys met au point un contenu de sensibilisation, à deux niveaux, des collaborateurs de ses clients :
1 - une sensibilisation en amont pour expliquer les enjeux du RGPD
2- une sensibilisation en aval pour accompagner et garantir l’adoption des nouvelles pratiques par les acteurs concernés

Au-delà d’un plan de formation (organisation des ateliers pour chaque domaine de métier tout en se basant sur des modalités pédagogiques diverses et variées) et/ou, d’un plan de communication (interne et externe), la démarche de sensibilisation est une démarche d’apprentissage organisationnel qui se base sur un plan de suivi à long terme de l’appréhension des collaborateurs des nouvelles pratiques à déployer.

Pour une stratégie exhaustive et personnalisable

La stratégie d’accompagnement du changement se base essentiellement sur les actions suivantes :

 Accompagner les managers et les chefs de projet dans la prise en compte des nouvelles pratiques (les former sur le comment faire) annoncées dans la « Privacy by design » et les aider à anticiper toute action de gestion des DCP
 Aider l’entreprise à anticiper / structurer les actions à mettre en place en cas de faille de sécurité ou de compromission affectant les DCP
 Analyser les impacts de la mise en conformité sur l’organisation, la culture de l’entreprise et les pratiques des collaborateurs : à travers les entretiens individuels / collectifs, l’observation du quotidien du travail et stratégie d’entreprise
 Analyser les types de relations entre les personnels impliqués dans les traitements de DCP pour pouvoir réaliser une cartographie, à travers laquelle il y aura une catégorisation des acteurs selon leur implication dans le changement (alliés / résistants / neutres). Cela permet d’identifier les réactions des différentes personnes et d’établir un discours approprié pour chaque catégorie de population.


PROVADYS complète ses missions d’accompagnement à la mise en conformité au RGPD par l’intégration d’une démarche d’accompagnement du changement afin d’aider les dirigeants et le management à minimiser les impacts des phases d’adaptation et d’acceptation des collaborateurs pour que les activités courantes de la société puissent continuer sans heurt.


Voir les articles précédents

    

Voir les articles suivants