10 questions à se poser avant de choisir votre outil de mise en conformité au RGPD
Trouver la meilleure solution pour la gestion de la conformité au RGPD est une tâche complexe.
Comme tout nouveau prestataire, ce dernier doit répondre à vos besoins, rentrer dans vos coûts, assurer un service client qualitatif et durer dans le temps. Pour la sélection d’un prestataire RGPD, il est essentiel de comprendre ses besoins (interne et externe), et d’identifier le risque en matière de protection des données personnelles.
Chez Blockproof, nous avons identifié 10 questions qui vous permettront de choisir le plus efficacement votre solution RGPD et ce, avant même de lancer votre recherche.
Quelles sont vos frustrations en matière de mise en conformité au RGPD ?
Passez-vous une énergie précieuse à répéter des recherches sur des activités de traitement de données à des niveaux dispersés ?
Si vous êtes Responsable de traitement (cas du dirigeant), êtes-vous à l’aise avec la mise en conformité RGPD de votre structure ?
Vous sentez-vous à l’aise avec la sécurité des données personnelles traitées par votre entreprise ?
Les inventaires et les groupes de travail prennent-ils trop de temps ?
Êtes-vous contraint d’allouer plus de 20 heures par mois une ressource interne pour le RGPD ?
La frustration est généralement le résultat d’un manque de temps / de ressources internes ou d’un manque de vision sur les tâches à accomplir en matière légale.
En prenant le temps d’identifier les sujets internes à votre organisme, il vous sera plus simple d’échanger avec les professionnels du secteur légal et de trouver une solution qui vous correspond. Assurez-vous de solliciter aussi les ressources internes qui traitent au quotidien les données personnelles recueillies par votre organisation afin d’évaluer leur vision sur le sujet et leur ressenti vis à vis des obligations légales en matière de RGPD. Notez par ailleurs, que la seule acception des cookies sur le site internet n’est pas suffisant pour assurer votre conformité.
Quelle est la fréquence de travail de mes équipes sur le RGPD ?
⚠️ Spoiler alerte : pour s’assurer de sa conformité, il est nécessaire de réaliser un suivi dans le temps.
Concrètement, il s’agit ici d’identifier les actions mises en place en matière de RGPD. Quelles sont les équipes concernées ? Avez-vous identifié un(e) délégué à la protection des données ? Qui sont les interlocuteurs dans chaque service ? Quelle est la fréquence des actions réalisées par la personne responsable et les services impactés.
Avec ce raisonnement, vous pourrez ainsi juger du besoin (ou non) d’externaliser complètement, ou partiellement la profession de délégué à la protection des données (DPO).
Utilisez-vous l’automatisation au sein de votre structure ?
Chez Blockproof, nous sommes partisans de l’automatisation pour permettre à nos équipes de gagner du temps sur les tâches opérationnelles et se concentrer sur les tâches ayant plus de valeur. Pour autant, l’automatisation cache un loup en matière de RGPD.
Pour être conforme, toute automatisation a besoin d’être contrôlée en amont et en aval de sa mise en place. L’exemple concerne notamment les outils digitaux : avez-vous vérifier les CGU ? Est-ce que les données sont sécurisées ? Quelle type de données collectez-vous ? Avez-vous demander le consentement de manière claire et explicite à vos prospects, clients, salariés ou administrés ?
Pour le choix de votre outil RGPD, c’est la même chose.
L’automatisation d’une partie de la mise en conformité RGPD est positive, mais a besoin d’être contrôlée. Pensez donc à demander :
- les référentiels utilisés par ces prestataires pour automatiser la mise en conformité
- le niveau de sécurité informatique mis en place avant de contractualiser avec un prestataire de mise en conformité RGPD. En effet, si votre prestataire a automatisé (par exemple) le stockage de votre dossier de conformité sur un cloud tiers avec le mot de passe “azerty”, toute l’automatisation qui en découle est inutile. Car l’information stockée n’est pas sécurisée et donc contraire aux bonnes pratiques du RGPD.
Par ailleurs, l’automatisation doit bien entendu vous faciliter la vie et ne pas être un poids pour votre organisation.
Quels sont vos besoins les plus critiques ?
Evaluer ses besoins les plus pressants, vous permettra de plus facilement trouver une solution sur mesure.
Le RGPD peut par exemple, être réalisé en interne à partir d’un fichier Excel. Néanmoins, si remplir une feuille Excel et les compiler en des activités de traitement de données durant 3 mois est viable pour votre organisation. Alors, faites-le.
Si par contre, vous préférez affecter vos ressources ailleurs pour le bien-être de votre salarié(e) et l’efficacité opérationnelle de votre organisation, une solution web (aussi appelée, outil SaaS) avec accompagnement sera plus adaptée pour votre mise en conformité RGPD.
Quels sont les objectifs que vous souhaitez atteindre rapidement ?
Vos réponses aux questions 1 à 4 vous aideront à hiérarchiser les trois principaux objectifs que vous espérez atteindre avec la solution choisie. Cherchez-vous à réduire les longs processus et délais superflus d'inventaire des données personnelles ? Et que pensez-vous de pouvoir créer votre registre dans un délai d'une semaine ? Et de pouvoir obtenir une étude de vulnérabilités complète en un mois ?
Vos principaux objectifs de conformité au RGPD doivent être étroitement liés à ceux de votre organisme dans son ensemble.
Notre avis : même si un outil web de mise en conformité est attractif, vous cherchez ici à résoudre une problématique légale. En l’absence de ressources juridiques spécialisées (internes à votre organisation), un outil web n’est pas suffisant. Choisissez une prestation couplant l’accès à un outil et l’intervention humaine (afin de vérifier le travail de mise en conformité).
Qui est impliqué dans le processus décisionnel ?
Idéalement, toutes les parties prenantes devront être représentées dans votre évaluation et dans la décision finale. Mais en pratique, cela peut s’avérer compliqué.
Il est bon d'avoir au moins un représentant de chaque service directement impliqué dans vos opérations de traitement de données personnelles.
Nous recommandons d’intégrer dans la boucle de décision la personne référent, futur référent ou DPO interne dans le choix d’un outil de mise en conformité RGPD.
De quel niveau d'expertise et disponibilité avez-vous besoin ?
La réponse à cette question dépendra en grande partie de vos capacités internes, et de votre niveau de risque en matière de protection des données.
Par exemple, si votre organisme dispose d'un expert interne en RGPD à temps plein, il n'aura pas besoin d'autant de soutien pour mettre en œuvre les mesures de conformité de la RGPD qu'un organisme dont le gérant / le directeur des RH / ass. administratif ou expert qualité tente de jongler entre son métier et sa fonction de DPO interne.
Si vous hésitez entre DPO interne et DPO externe, cet article pourrait vous intéresser.
Notez que la disponibilité d'un juriste spécialisé en RGPD est un facteur clé de différenciation entre les fournisseurs de solutions de mise en conformité.
Nous avons déjà rencontrés des entreprises qui ont malheureusement attendu 3 à 4 mois avant d’avoir des premiers éléments de conformité alors que ces dernières étaient à risque vis-à-vis du RGPD. En cas de contrôle, avoir souscrit à un abonnement avec un prestataire n’est pas suffisant.
La notion de disponibilité et d’efficacité est donc aussi un élément à prendre en compte.
Autre cas, si vous avez de nombreuses demande d’accès ou de rectification de la part d’utilisateur de votre application par exemple, il est essentiel que votre prestataire soit réactif et consciencieux car il s’agit là de votre image de marque (et de risques légaux au demeurant).
Comment mesurer votre retour sur investissement ?
Définissez comment mesurer le retour sur investissement une fois que votre solution RGPD est mise en place. Vous pourrez ainsi tenir compte des économies directes et des améliorations apportées.
Les économies directes sont généralement plus faciles à quantifier : combien d’heures de travail (équivalent tant plein) j’ai économisé en externalisant la compétence RGPD.
Sachant qu’une amende pour non conformité peut monter jusqu’à 4% du chiffre d’affaires annuel, vous pouvez par exemple rapporter le coût de la prestation annuelle avec le coût d’une amende sur votre chiffre d’affaires.
Les améliorations apportées par la solution peuvent également avoir un impact positif sur vos résultats : obtention de contrats avec des grands comptes ou collectivités, image de marque auprès du public (confiance digitale), marque employeur (confiance des salariés), réduction des risques prud'homales, etc.
En somme, être vulnérable juridiquement contient des coûts visibles et des manques à gagner cachés.
Quand voulez-vous mettre en place une solution ?
Comme dans toute organisation, plusieurs chantiers peuvent être menés de front. Avoir un calendrier réaliste vous aidera à prendre une décision claire.
Par contre, nous vous avisons de tenir compte du secteur d’activité de votre organisme et du calendrier de contrôle de la CNIL qui peut également avoir une incidence importante sur le délai de mise en œuvre des mesures de conformité au RGPD.
Nota bene : Chez Blockproof, nous avons mis à disposition un diagnostic RGPD en ligne 100% gratuit.