Il existe plusieurs modes d'accompagnement à la conduite du changement. S'il est indéniable que c'est cette approche qui doit être menée dans le cadre de la transition vers la conformité au Règlement Général de la Protection des Données, comment choisir la formule qui vous conviendra ?
Pas si simple ...
Il n'y a pas de solution miracle ou de modèle unique en réponse à cette question. Plusieurs facteurs sont à prendre en compte pour décider de la solution à privilégier .
Quels sont les choix possibles ?
Je vais vous présenter ce qui constitue à mon sens les 3 grands types possibles d'organisation du pilotage et de la réalisation, avec, pour chacun, les avantages et les inconvénients:
1 - Une démarche totalement internalisée :
Le pilotage et la réalisation de la mission sont effectués entièrement par les équipes internes : Le DPO* désigné est capable de piloter la démarche de mise en conformité avec l'aide de la DSI* et d'un juriste interne ; les relais opérationnels dans chaque domaine ou chaque entités géographiques sont identifiés. La cohérence est garantie par une politique générale qui a identifié les enjeux du RGPD et a intégré ce domaine dans sa gestion des risques.
L'avantage est bien évidement le coût qui sera minime et le fait que les équipes de pilotage s'approprieront totalement la démarche dés le départ.
L'inconvénient est tout d'abord la surcharge de travail pour cette équipe : il peut être difficile pour elle d'assurer une dynamique sur cette question en plus de ses tâches quotidiennes ; Ensuite la question de la légitimité des équipes en place sur les problématiques de gestion du changement peut également se poser dans bien des organisations ; N'oublions pas que l'adage "Nul n'est prophète en son pays" a encore de beaux jours devant lui !
2 - Une démarche totalement externalisée
A l'inverse, vous estimez n'avoir absolument pas en interne les ressources nécessaires pour mener à bien cette démarche, que ce soit en terme de pilotage ou de réalisation opérationnelle. Vous souhaiteriez totalement externaliser cette démarche.
L'avantage est bien sûr le fait que le travail des équipes en place ne sera absolument pas impacté par la mise en place et la réalisation de la démarche de conformité. Celle-ci sera rapide et les objectifs maîtrisés.
Par contre, je vois personnellement beaucoup d'inconvénients à ce choix : le coût tout d'abord, mais surtout le fait qu'aucune acculturation des équipes en place ne sera réalisée ainsi. Comme la mise en conformité s'apparente à une démarche d'amélioration continue, la question est de savoir à quel moment la réappropriation par les équipes chargées de faire vivre cette nouvelle culture de la protection des données pourra avoir lieu ?
Il y a fort à parier que cette réappropriation donnera lieu à une deuxième projet dont le but sera de faire "ré-atterrir" la démarche en interne. D'où des coûts supplémentaires, et un risque de désynchronisation entre le temps nécessaire à la mise en œuvre technique et celui nécessité par l'acceptation psychologique du changement par les acteurs.
3 - Un accompagnement sur le pilotage et la mise en oeuvre
Le mode accompagnement vous permet de garder la main sur la cohérence politique de la démarche avec les autres projets en cours de la structure, tout en disposant de compétences supplémentaires. L'accompagnement porte à la fois sur la méthode de gestion de projet et sur les domaines de la démarche : juridique, technique et organisationnel.
Il permet de renforcer la légitimité de la fonction chargée du pilotage de la démarche et d'avoir un support dédié aux équipes opérationnelles : la dynamique interne est renforcée.
Sur ce mode, on peut faire varier l'accompagnement qui peut booster certains domaines selon les besoins de l'équipe en place. Par exemple, en terme de communication, les réunions de lancement présentant le côté juridique de la démarche peuvent être déléguées. Pour la réalisation, il peut être aussi prévu que les équipes opérationnelles bénéficient d'un support technique sur certaines phases.
Que votre choix se pose sur un accompagnement simple ou renforcé, le coût est maîtrisé ; L'appropriation par les équipes est réalisée en même temps que la démarche de mise en conformité ce qui garanti une dynamique de l'amélioration continue sur la question de la sécurité des données personnelles.
Attention néanmoins au risque de saturation des équipes internes. Il faut veiller à ce que du temps leur soit réellement libéré pour mener à bien leur mission. La vigilance est nécessaire et en cas de "surchauffe", il faudra prévoir un accompagnement renforcé et/ou un renfort sur la réalisation de leurs tâches courantes.
Pour choisir entre les différents scénarii décrits ci-dessus, quels sont les principaux critères à prendre en compte dans cette démarche de mise en conformité RGPD ?
A - Le degré d'acculturation au numérique de votre organisation
Il est bien évident que si vous avez déjà un Correspondant Informatique et Liberté, et un Directeur des Systèmes d'Information depuis quelques temps dans votre organigramme, vous êtes en bonne voie. Vous avez compris les enjeux du numérique en tant qu'outil et l'acculturation des équipes fait certainement partie des priorités de vos plans de formation. Vous pouvez certainement choisir de vous débrouiller tout seul ou de faire appel à une aide extérieure minime pour rassurer vos équipes. sur le pilotage du projet.
B- Les moyens disponibles en interne
Malgré les apparences, la question diffère de la précédente. Ici on parle des moyens opérationnels nécessaires pour travailler à la mise en conformité : réaliser la cartographie des données et les études d'impact sur la vie privée. Car en pratique, si le Délégué à la Protection des Données donne son avis sur les traitements de données personnelles réalisés ou envisagés, ce n'est pas lui qui va pouvoir réaliser seul toute la mise en œuvre.
C- La complexité de votre système d'information, le degré de centralisation de votre gouvernance et de sa mise en œuvre opérationnelle
Ces deux notions sont ici abordées ensemble car un faible degré de centralisation des processus a la plupart du temps pour conséquence un manque d'harmonisation des pratiques qui génère une complexité du système d'information.
Si la plupart des processus sont réalisés à l'aide de progiciels en mode SaaS, et que tous les processus faisant appel à des collectes de données personnelles sont centralisés : à priori, la mise en conformité donnera lieu à une communication avec vos sous-traitants, une adaptation juridique de la plupart des formulaires et une vérification de l'adéquation des procédures à la réalité organisationnelle. Néanmoins l'ensemble sera peu chronophage.
Par contre, s'il existe des fichiers Excel ou Word différents dans les établissements pour traiter de processus peu centralisés, ne faisant pas l'objet de procédures écrites ou respectées, le travail sera titanesque.
Enfin, sachez que chez handiness, le premier travail de votre consultant, avant même de commencer sa mission, sera d'analyser avec vous votre organisation afin de vous conseiller sur les modalités d'intervention à prévoir. Dans tous les cas décrits ci-dessus, notre parfaire connaissance du fonctionnement du secteur médico-social nous permet d'appréhender les forces et faiblesses de votre organisation et d'adapter notre méthode . Notre approche est celle de l'accompagnement, dont les modalités de renfort sont évaluées et varient selon vos besoins. Clairement, nous ne réalisons pas les missions "clefs en main" qui correspondent à la démarche totalement externalisée décrite ci-dessus.
DPO ou DPD = Data Protection Officer ou Délégué à la Protection des Données
DSI = Direction des Systèmes d'information
Photo par Steve Johnson sur Pexels