Deux ans de RGPD @OCTO
Premier semestre 2018 : branle-bas de combat pour se mettre en conformité avec le RGPD. L’équipe projet a mis votre entreprise en conformité et identifié une liste de points à corriger.
Deuxième semestre 2018 : le soufflé retombe. La liste à la prévert des préconisations serait-elle tombée aux oubliettes ?
C’est un scénario réaliste si vous vous étiez constitués en mode projet. Dans notre entreprise, pour éviter cette situation, nous avons constitué une équipe de personnes motivées, avec un sponsor interne et du temps dédié. Nous avons intégrédes bonnes pratiques au quotidien (sensibilisation pour tous, optimisation récurrente des procédures, test des procédures …). C’est ainsi que nous avons vu émerger quelques effets de bords bénéfiques et de nouvelles opportunités (par exemple, une sobriété dans la conservation des données … qui trouve tout naturellement son association avec une réflexion plus large sur nos impacts environnementaux), et ce dans toutes les dimensions de l’entreprise (ressources humaines, marketing et communication, finances, services généraux, DSI …).
À travers cet article et des exemples très concrets, nous vous partageons deux ans d’expérience et notre cheminement incrémental, avec les embûches rencontrées.
L’amélioration continue
Une équipe pluridisciplinaire pour oeuvrer au quotidien
Le RGPD chez OCTO, c’est d’abord des hommes et des femmes.
À l’image du fonctionnement d’OCTO, l’initiative est partie de quelques acteurs soumis aux contraintes RGPD et quelques passionnés du sujet. Ainsi, Dominique pour la direction, Julie qui baigne dans le RGPD depuis quelque temps, Pierre pour la DSI ou encore Aurélien avec son amour de la Data, ont été les promoteurs du RGPD chez OCTO. Puis, pas à pas, le plus souvent grâce à l’intérêt exprimé lors de sessions de sensibilisation, Julie et son expérience juridique, Didier et son expertise de la sécurité, ou encore Laurent et son oeil d’architecte, ont intégré cette équipe coeur.
Chacun a pris en main un aspect de cette réglementation et animé différents travaux en y intégrant les Octos au sens large. L’expérience diversifiée et l’expertise multiple de cette équipe, combinée avec l’engagement de chaque Octo, a permis d’apporter, de façon optimale, une réponse à chaque défi que présente la conformité au RGPD. Les meilleurs exemples résident dans la constitution du registre des traitements ou l’élaboration des procédures induites par le RGPD. Nous y reviendrons plus tard dans ce même article. Mais plus encore, cette approche pluridisciplinaire nous a permis de bénéficier d’apports sur des sujets tels que l’expérience utilisateurs (et, par exemple, l’impact sur les interviews), ou encore l’intelligence artificielle (et donc l’usage déontologique des données traitées).
La conviction que le RGPD soit destiné à protéger les résidents européens et non pas à imposer une énième contrainte administrative, a permis de conserver la motivation et l’engagement de chacun pour aboutir à la conformité visée. Tout naturellement, et parce que c’est dans l’esprit OCTO, cette équipe se retrouve à la fois autour de comité réguliers mais aussi aux beaux jours autours d’un barbecue (lorsque nous ne sommes pas confinés) pour faire le point sur les travaux réalisés … dans la bonne humeur.
La formation en interne comme fondation à l’adoption
Un des premiers chantiers de notre engagement dans le RGPD, a été de sensibiliser les Octos. Il y a donc eu un investissement conséquent pour que chaque employé, indépendamment de son rôle, puisse participer à une session de formation. Après avoir formé la majorité des Octos, la formation RGPD est désormais intégrée au séminaire d’intégration et à la skool (le graduate programme assurant la transmission des savoir-faire et savoir-être OCTO aux nouveaux embauchés en début de carrière). Ainsi, elle vient s’adosser aux autres sessions telles que “Agilité”, “Posture Conseil”, “Architecture”. Cette systématisation à sensibiliser au RGPD, démontre l’importance donnée à cette réglementation dans l’approche de nos nombreux métiers du numérique. De plus, le fait d’aborder ce sujet avec tout nouvel arrivant, multiplie le partage d’expériences et contribue encore une fois à s’inscrire dans une amélioration continue. Les octos formés ne deviennent des experts du RGPD mais auront les clefs nécessaire pour être attentif à la conformité.
Mieux vaut prévenir que guérir : la revue annuelle du registre des traitements
Pour éviter que le registre tombe en poussière, il faut l’ouvrir et le relire régulièrement : vos traitements et les outils évoluent, le registre doit évoluer aussi.
Pour cela nous avons choisi de revoir chaque mois un de nos traitements internes : par exemple, en avril 2020 nous avons revu la gestion des prospects et clients chez OCAC, notre organisme de formation. Un échange avec les équipes a permis de constater que les préconisations ont bien été mises en place sur l’outil de CRM, mais que la notice d’information sur l’outil de gestion et d’envoi d’email pouvait être améliorée. La suppression des données après la durée de conservation prévue, se fait manuellement dans la plupart des cas. Enfin, la DSI a été sollicitée pour faire une évolution mineure de la description d’un champ libre afin d’éviter d’y mentionner des données personnelles. Un bilan de santé annuel rapide et efficace car les équipes sont sensibilisées au sujet et car les échanges sont réguliers.
Tests à blancs de nos procédures
Comme abordé précédemment chaque registre des traitements est un objet vivant. Il faut donc s’appuyer sur une procédure qui garantisse qu’il ne prenne pas la poussière. Et ce n’est pas la seule procédure RGPD à mettre en oeuvre. Comme pour toute procédure, il est nécessaire de régulièrement les tester (c’est bien de faire une sauvegarde … mais si vous n’arriver pas à la recharger, c’est inutile).
Comme à notre habitude, des Octos ont donc challengé nos procédures et la première à passer au grill fut la “Demande d’accès”. Nous avons respecté la démarche qualité appliquée sur nos activités et nous avons donc déroulé un scénario (sans spécialement avoir prévenu tous les intervenants), identifié les points d'achoppement et enfin réalisé une rétrospective pour définir des actions d’amélioration.
Le RGPD ne fait pas exception à la règle, tester les procédures est fondamental. Pour être transparent, le passage de la théorie à la pratique a levé de nombreux sujets. Il est impressionnant de voire la richesse des informations collectées par les différents services d’une entreprise (un conseil, regardez du côté de la gestion de votre sapin de noël … et ce n’est qu’un exemple).
Au final, nous avons pu perfectionner nos procédures, et cela a été bénéfique. Car peu de temps après ce test interne, un cas réel s’est présenté à nous. Nous avons pu y répondre dans les délais impartis. Mais là encore, la rétrospective a mis en évidence des axes d'amélioration (dont l’automatisation des recherches … et c’est un chantier à part entière).
Un autre axe d’amélioration : nos contrats
Dans un autre contexte, les biz dev, nous ont remonté leurs difficultés dans la gestion des clauses RGPD de nos contrats.
En cas de traitement sur les données personnelles, le RGPD impose dans chacun de nos contrats de définir “l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.” SIC.
Si en mai 2018 nos contrats ont été adaptés à ces nouvelles dispositions, nous nous sommes rapidement rendus compte qu’il était parfois très compliqué d’identifier un traitement à l’aube d’un projet, notamment quand le cadrage n’a pas encore eu lieu. De fait, comment pouvons-nous, de manière agile, faire évoluer un traitement quand on développe un nouveau produit ?
“There is a better way”, fidèle à nos valeurs, nous avons donc travaillé avec les équipes juridiques afin de proposer une fiche de traitement en annexe de nos conditions d'intervention.
Cette fiche de traitement peut être mise à jour tout au long du projet, sans nécessiter un avenant au contrat (à l'image d'un PAQ). Elle est donc amenée à être complétée selon le contexte opérationnel. Elle permet donc à nos clients de faire évoluer la description du traitement et de nos obligations en tant que sous-traitant, et donc d’être plus transparent mais aussi plus précis dans les instructions reçues.
Le RGPD, un sujet transverse
La protection des données personnelles a continué à se diffuser au sein d’OCTO : nos clients nous l’ont prouvé régulièrement, les Octos également. En septembre dernier, la création de l’équipe ResPAI (Responsible Artificial Intelligence) a démontré que les enjeux d’éthique et de conformité étaient souvent au coeur des problématiques de nos clients.
Ethique et RGPD
Comme précisé l’année dernière, nous sommes convaincus que le RGPD est plus une opportunité qu’une contrainte. Il est important de revenir à la raison d’être de ce règlement afin de se l’approprier comme une démarche et non comme un outil contraignant. Ce retour aux sources s’accompagne d’un retour aux valeurs : l’éthique, le why du RGPD.
Cette thèse a été défendue lors de la matinale “ethical by design” le 3 octobre dernier. L’équipe RespAI (Responsible Artificial Intelligence) qui s’intéresse à l’usage responsable des traitements algorithmiques des données, y a accueilli des intervenants aux profils variés afin de discuter d’un nouvel enjeu de l’IA : “Ethical by Design”.
Ensemble, ils ont tenté de répondre aux questions suivantes :
- Pourquoi l’éthique a aujourd’hui une place majeure dans les discussions autour de l’IA ?
- Quel est le risque à l’ignorer, et surtout quels avantages une organisation peut-elle tirer de la mise en place de pratiques éthiques ?
- Comment gagner et/ou maintenir la confiance des utilisateurs dans un système IA ?
- Que peut apporter l’IA au domaine de la santé, avec toutes ses spécificités ?
Et de façon surprenante, le RGPD a ouvert de nouvelles réflexions qui vont au-delà de la protection personnelle, et qui parfois s’aventure sur les chemins de la responsabilité environnementale.
Sobriété et RGPD
La mise en oeuvre du RGPD dans une entreprise déclenche quelques changement d’habitudes. Par exemple, nos procédures RGPD ont tout naturellement mis en évidence la nécessité de supprimer toutes les données personnelles dont la durée de conservation était dépassée. C’est ainsi que nous avons pris conscience que nous conservions un volume d’informations dont l’utilité n’est pas avérée. Boulimiques d’information que nous sommes, nombre d’entre nous, ont réalisé qu'au delà d’une contrainte réglementaire, la suppression des données inutiles était une démarche environnementale positive (nos données s'envolent de plus en plus dans les nuages … mais au final elles atterrissent dans du matériel énergivore et complexe à dépolluer).
Le RGPD a donc contribué à affirmer la démarche de sobriété numérique déjà initiée chez OCTO. Les obligations réglementaires ont abouti à définir des procédures pour supprimer régulièrement les données (par exemple les données des employés ayant quitté l’entreprise, mais aussi les données associées à nos clients après la fin de chaque projet).
Mais à l’image de la démarche de Marie Kondo pour la gestion des objets de notre quotidien, chaque Octo est invité à faire le ménage de printemps (et plus fréquemment en réalité) pour se concentrer sur l’essentiel. Par exemple, cela peut aboutir à retravailler les documents produits pour ne conserver que le strict nécessaire au titre de la capitalisation. Au delà de la protection des données (de nos employés comme de nos clients), cette démarche a pour objectif d’éviter un usage gargantuesque des capacités de stockage sans limite qui nous sont mises à disposition.
Encore une fois, le RGPD apparaît comme une opportunité pour réviser notre façon de travailler et même notre façon de consommer. De leur côté, nos équipes commerciales ont compris que cela pouvait aussi être une opportunité d’enrichir nos propositions de valeurs.
N’oublions pas, nous sommes quand même une société de service !
Business et RGPD
En 2019, nous avons constaté l’appropriation du RGPD chez nombre de nos clients et notamment dans le secteur public. Et cela s’est traduit par de nouveaux types de sollicitations.
Ainsi, à l’occasion de cadrage 360, nous avons été amenés à intégrer dans la roadmap projet les fonctionnalités permettant le respect du droit des individus : notice d’information, droit d’accès, droit de rectification, droit à l’oubli, droit d’opposition, droit à la limitation, portabilité des données...
L’équipe de cadrage d’un projet pour une compagnie d’assurance a sollicité l’équipe RGPD pour l’aider à préparer son cadrage afin de s’assurer d’identifier les risques liés à la conformité. En effet, le RGPD s'intègre dans les enjeux de conformité au sens large : que ce soit la protection des données personnelles, des contraintes liées au secteur, ou des sujets d’accessibilité des outils. Cela nous oblige aussi à améliorer nos pratiques existantes.
Si le cadrage ne nécessite que rarement l’intervention d’un expert RGPD, notre équipe intervient plutôt lorsqu’une Analyse d’Impact relative à la Protection des Données personnelles est nécessaire. Cette AIPD doit être réalisée lorsqu‘un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Elle a pour objectif de décrire lestraitements et leur finalité, évaluer leur nécessité et la proportionnalité des opérations au regard de leurs finalités, d’évaluer les risques pour les droits et libertés des personnes concernées, de valider les mesures envisagées pour faire face aux risques.Par exemple, nous avons aidé un client, qui propose un service à destination des mineurs, à mieux appréhender ces problématiques et à déclencher une AIPD. De même, dans un autre projet, lui aussi à destination des mineurs, notre cadrage 360 a contribué à renseigner l’AIPD et sa déclinaison en une publication au journal officiel.
Conclusion
Tels des architectes et bâtisseurs, nous intégrons les normes et la conformité dans nos missions. Nous ne sommes pas un cabinet d’audit ou certificateur ; OCTO n’a pas d’offre spécifique RGPD, car le RGPD est une pratique transversale à nos métiers.
Au même titre que la sécurité, la qualité du code ou encore l’expérience utilisateur, la gestion des données personnelles doit être un pilier de notre activité quotidienne.
Au bout de 2 ans, la greffe prend, le RGPD s’intègre dans notre ADN. Il vit, trébuche mais grandit et s’épanouit !