Le programme de gestion de la protec­tion des données (data protec­tion mana­ge­ment programme ou DPMP) peut se défi­nir comme un cadre mis en place au sein d’une entre­prise rele­vant d’une approche struc­tu­rée et multi­dis­ci­pli­naire de la protec­tion des données. Son utilité dépasse souvent la confor­mité régle­men­taire (compliance), bien que celle-ci demeure sa fonc­tion prin­ci­pale. Ainsi, de nombreuses entre­prises étendent le cadre de leur DPMP au-delà des strictes obli­ga­tions régle­men­taires, notam­ment en se confor­mant volon­tai­re­ment à des stan­dards édic­tés (p. ex. la norme ISO/IEC:27001 ou le NIST Privacy Framework) ou en alignant toutes leurs acti­vi­tés sur les stan­dards les plus élevés (souvent ceux du RGPD), indé­pen­dam­ment des lois qui leur sont appli­cables. Ces démarches peuvent viser à simpli­fier les proces­sus au sein de l’en­tre­prise ou à servir de diffé­ren­tiel concur­ren­tiel, en accrois­sant la confiance des consom­ma­teurs et en renfor­çant la répu­ta­tion de l’en­tre­prise. Elles permettent égale­ment de limi­ter les risques de viola­tion de la sécu­rité des données, de respon­sa­bi­lité ou de procès et, dans l’en­semble, d’ap­por­ter un retour sur inves­tis­se­ment inté­res­sant pour les entreprises.

S’il n’est pas mis en place correc­te­ment, un DPMP peut toute­fois être inef­fi­cace (car il n’est pas suivi), voire être contre-produc­tif, en bloquant les acti­vi­tés de l’en­tre­prise.  Cet article liste nos conseils pratiques, regrou­pés en cinq étapes, afin de mettre en place un DPMP réussi.

1. Définir des objec­tifs adaptés

La première étape clé dans la mise en place d’un DPMP consiste à déter­mi­ner le « contexte » de l’en­tre­prise, c’est-à-dire son posi­tion­ne­ment dans l’éco­sys­tème de protec­tion des données (lois appli­cables et autres réfé­ren­tiels auxquels l’en­tre­prise adhère volon­tai­re­ment), ainsi que son expo­si­tion et appé­tence aux risques. Ces éléments sont essen­tiels pour cali­brer le programme et prio­ri­ser les actions à entre­prendre. Un programme mal cali­bré ou trop ambi­tieux risque d’échouer. Il est donc souvent préfé­rable de fonc­tion­ner par étapes et de fixer dans un premier temps des objec­tifs plus modestes, qui seront mieux adap­tés aux besoins de l’en­tre­prise et ainsi mieux accep­tés par les équipes busi­ness.

Il est conseillé de défi­nir la vision et mission de l’en­tre­prise en lien avec la protec­tion des données (company vision et mission state­ment), en résu­mant dans un docu­ment de façon claire et concise (30 secondes de lecture au maxi­mum) la posi­tion de l’en­tre­prise en matière de protec­tion des données, afin de guider la mise en place et l’im­plé­men­ta­tion du DPMP.

2. Définir les rôles et respon­sa­bi­li­tés au sein de l’entreprise

La gestion d’un DPMP ne peut pas être inté­gra­le­ment délé­guée à une seule personne, ou unique­ment à un service (souvent le service juri­dique). Elle néces­site une forte colla­bo­ra­tion au sein de l’en­tre­prise et l’al­lo­ca­tion des ressources néces­saires. Naturellement, la répar­ti­tion des rôles dépen­dra du type d’en­tre­prise, de son fonc­tion­ne­ment (plus ou moins centra­lisé) et de sa taille : alors que les équipes des grandes entre­prises seront compo­sées de juristes, spécia­listes IT et des respon­sables des dépar­te­ments les plus concer­nés (RH, Marketing, Procurement, etc.), les entre­prises plus petites s’ap­puie­ront prin­ci­pa­le­ment sur une seule personne, en veillant à ce qu’elle puisse béné­fi­cier de l’as­sis­tance de ses collègues. Toutes les entre­prises (grandes et petites) devraient toute­fois s’as­su­rer de l’ap­pui d’un membre de la direc­tion (souvent dési­gné project spon­sor), qui assume la respon­sa­bi­lité du succès du programme et s’as­sure que les ressources suffi­santes soient affec­tées au projet.

3. Analyser les flux de données (data mapping) et iden­ti­fier les lacunes (gap analy­sis)

Une approche struc­tu­rée de la protec­tion des données néces­site une connais­sance précise des infor­ma­tions qui sont trai­tées par l’en­tre­prise – de ce qu’elle en fait et à qui elle y donne accès – pour l’en­semble du cycle de vie de la donnée (de sa collecte à sa destruc­tion ou son anony­mi­sa­tion). Pour ce faire, la première étape consiste à dres­ser un inven­taire de tous les services et supports de données – qu’ils soient physiques (ordi­na­teurs, flash drives, smart­phones, photo­co­pieuses et autres équi­pe­ments) ou virtuels (logi­ciels, services web et autres solu­tions) – qui traitent des données person­nelles de l’en­tre­prise. Les sous-trai­tants ayant accès à des données de l’en­tre­prise doivent égale­ment être iden­ti­fiés. Lors de la consti­tu­tion de cet inven­taire, une approche dyna­mique devra être privi­lé­giée, dans la mesure où ce docu­ment sera amené à être régu­liè­re­ment mis à jour au sein de l’entreprise et il s’agira donc d’adopter un format flexible et inté­grant éven­tuel­le­ment les outils néces­saires à une mise à jour facilitée.

Une fois cette étape ache­vée, les flux de données, ainsi que les acti­vi­tés de trai­te­ment (ce qui en est fait et pour­quoi), doivent être analy­sés (data mapping), au regard des exigences posées par les lois appli­cables et autres réfé­ren­tiels. A ce sujet, il convient de rele­ver qu’il ne s’agira pas unique­ment ici d’identifier les flux de données mais bien de comprendre les projets commer­ciaux dans lesquels ces flux s’insèrent, et les objec­tifs visés par ces projets. Ceci effec­tué, la dernière étape consiste à dres­ser la liste des lacunes consta­tées par rapport aux réfé­ren­tiels sélec­tion­nés (gap analy­sis) et à prio­ri­ser les mesures à entre­prendre pour les résoudre, compte tenu des objec­tifs défi­nis dans le cadre de l’étape 1 (action plan).

4. Implémenter le programme

L’étape 4 consiste à implé­men­ter les mesures défi­nies, qui peuvent notam­ment porter sur la correc­tion de certaines acti­vi­tés (cesser/​modifier un trai­te­ment, sécu­ri­ser certains outils), la révi­sion ou la conclu­sion de nouveaux contrats et la rédac­tion de poli­tiques et direc­tives internes. Les mesures d’im­plé­men­ta­tion doivent s’étendre à la gestion des sous-trai­tants, en s’as­su­rant qu’ils traitent les données en confor­mité avec le cadre légal appli­cable et les contrats conclus.

Les lois sur la protec­tion des données imposent souvent une réac­tion rapide à certains évène­ments, avec poten­tiel­le­ment des consé­quences impor­tantes, tant répu­ta­tion­nelles que finan­cières. Il en va ainsi des demandes de droit d’ac­cès, qui doivent être iden­ti­fiées et trai­tées dans des délais courts, ainsi qu’en matière de sécu­rité. Sur ce dernier aspect, l’en­tre­prise doit non seule­ment limi­ter les risques de viola­tions de la protec­tion des données, mais égale­ment se prépa­rer à devoir résoudre et noti­fier l’in­ci­dent le plus rapi­de­ment possible. Pour se prépa­rer au mieux, il est donc conseillé de conce­voir à l’avance un Incident Response Plan.

5. Assurer le suivi

Un bon DPMP doit être connu des personnes impli­quées et conti­nuel­le­ment mis à jour. Des forma­tions internes doivent donc être mises sur place pour s’as­su­rer que chaque employé est conscient de ses obli­ga­tions en matière de protec­tion des données. Le programme doit égale­ment être régu­liè­re­ment audité et mis à jour, en fonc­tion notam­ment de déve­lop­pe­ments externes (p. ex. réformes légis­la­tives) ou internes (p. ex. un nouveau produit ou nouveau marché).

Enfin, comme indi­qué dans l’étape 1, un programme n’est jamais exhaus­tif dès le début. Les objec­tifs et prio­ri­tés initia­le­ment fixés doivent donc être pério­di­que­ment revus et améliorés.