RGPD : un chantier aux facettes multiples

RGPD : un chantier aux facettes multiples

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur dans l’Union européenne le 25 mai dernier. Il oblige à plus de transparence les établissements publics, les entreprises et les associations qui traitent les données personnelles des citoyens européens. Magali Rousseau, directrice Maîtrise des Risques chez Viamedis et Olivier Sonntag, responsable conformité et Data Protection Officer chez Roederer, s’expliquent sur l’entrée en vigueur de ce règlement dans leur société respective.

Comment et depuis quand vous êtes-vous préparés en interne pour appliquer ce nouveau règlement européen ?

Magali Rousseau : Notre projet de mise en conformité au Règlement Général sur la Protection des Données personnelles (RGPD) a été officiellement lancé en mai 2017. Nous avons été accompagnés d’un cabinet de conseil spécialisé et d’expert reconnu et avons procédé en 2 phases :
- La 1ère, relative au cadrage nous a permis de réaliser un diagnostic de l’existant vs RGPD et de définir notre stratégie de mise en œuvre sous le prisme de 5 thématiques (Gouvernance ; Droits et Informations des personnes ; Relation et contractualisation : Clients, Fournisseurs, Partenaires ; Accountability ; Notification violation des données personnelles).
- La 2è phase, relative à l’accompagnement aux changements et à la mise en œuvre opérationnelle, nous a permis d’accompagner les équipes aux changements par le biais de kit de déploiement, de sensibilisation et d’un serious game dédié et joué par tous les collaborateurs de Viamedis.

Ce projet ambitieux, agile et transverse à l’entreprise s’est révélé être un formidable levier de synergie entre nos équipes. Nous avons conduit ce projet sans jamais perdre de vue trois facteurs clés : l’humain, la technologie et les processus. Chaque collaborateur s’est engagé dans ce projet commun : « partager pour réussir ensemble ».

Olivier Sonntag : Nous avons anticipé la mise en œuvre du nouveau règlement début 2017. Nous avons monté un groupe de projet et, au mois de mars 2017, nous avons donné mission à un cabinet d’avocats spécialisés pour nous assister, auditer les pratiques de notre société et nous accompagner tout au long de la mise en conformité. Le groupe de projet continue ses travaux tant que la conformité n’est pas acquise à 100% et le processus se poursuit. Nous avons priorisé un certain nombre de choses et il reste des sujets sur lesquels il faut s’entendre avec nos partenaires pour définir le rôle de chacun.

Quelles en ont été les conséquences sur votre organisation et vos systèmes d'information ?

Magali Rousseau : Nous avons souhaité aborder ce projet de mise en conformité comme une réelle opportunité d’optimisation, tant organisationnelle (création d’un poste de délégué à la protection des données à caractère personnel – DPO par exemple) qu’opérationnelle (revue de nos processus et procédures : revue des habilitations, des durées de conservation des données personnelles…) et de gouvernance de protection des données (désignation et positionnement du DPO, politique de protection de données personnelles…).

L’impact qui me semble le plus important consiste en la mise en œuvre, sans perdre de vue les utilisateurs et l’aspect pratico-pratique, des principes de « privacy by design & by default » et d’« accountability ». Viamedis est amenée à innover et créer de nouveaux produits et services, afin de satisfaire les besoins des professionnels de santé et de ses clients, y compris ceux de leurs bénéficiaires. Bien évidemment, cela ne peut s’inscrire autrement que dans le respect de la confiance qu’ils nous accordent, dans le respect de la sécurité des données à caractère personnel collectées ainsi que dans le respect des libertés et droits fondamentaux des personnes concernées. Nous sommes déterminés à poursuivre notre politique de développement et d’innovation dans un cadre licite, loyal et transparent.

Olivier Sonntag : Au plan de notre politique de sécurité informatique, nous avons déjà un niveau d’exigences très élevé dans l’entreprise, du fait que nous traitons notamment des données de santé. C’est une culture que nous avions déjà dans l’entreprise. Le RGPD n’a pas dans ce sens bouleversé les pratiques, mais il a amené à revoir les exigences encore à la hausse, notamment avec la révision des droits d’accès, du fait du principe de minimisation des données. Nous sommes en train de revoir toute la gestion des droits d’accès de tous nos collaborateurs, de manière à ce que chacun n’ait accès qu’aux données dont il a besoin pour travailler. De plus, au niveau de la sécurité des bâtiments, tous les départements et services sont désormais fermés, avec un badge d’accès. On peut également citer les mesures d’hygiène informatique, pour éviter que chacun stocke des données à caractère personnel. La politique a été définie au niveau du groupe et nos 5 unités – avec Paris, Metz, Nancy, Strasbourg et Mulhouse – ont été associées au processus pour vérifier qu’il n’y ait pas d’écart entre les pratiques du siège et les antennes.

Quel est l'impact de ce règlement sur vos relations avec vos clients ?

Magali Rousseau : A mon sens, l’impact majeur consiste pour chaque organisation, soumise au RGPD, à réévaluer son positionnement en termes de responsabilisation (responsable de traitement, sous-traitant, voire co-responsable de traitement).
L’exercice n’est pas évident, et d’autant plus difficile lorsque vous avez un écosystème comme celui de Viamedis. Il est nécessaire d’avoir une vision systémique (interactions avec nos clients, et aussi les professionnels de santé, nos partenaires et les fournisseurs, sans oublier bien sûr nos salariés !) Vous l’avez compris, l’impact est donc une campagne de révision de tous nos contrats, et de revenir vers chaque co-contractant.
Par ailleurs, je tiens à souligner cet élan de solidarité et d’échange de bonnes pratiques que je rencontre avec mes homologues DPO. Ensemble, et tous concernés par un projet commun dont l’enjeu réside dans la protection de la vie privée de chacun d’entre nous !

Olivier Sonntag : L’impact immédiat a été, au niveau des entreprises, de répondre aux questions, notamment en matière d’assurance des personnes, sur notre conformité RGPD. Elles ont ainsi reçu une lettre d’engagement de conformité de notre part. Les particuliers ont reçu des informations similaires via notre site Internet et sur les espaces clients. Ce que nous permet le RGPD au plan de la relation client, c‘est d’utiliser ce dernier comme un outil qui permet de renforcer la confiance de la clientèle dans nos processus de travail et dans le soin que nous apportons à la protection de leurs données personnelles et le respect de la règlementation existante.

Propos recueillis par Jean-Jacques Cristofari

Cet article a été publié dans Actualité, Dossiers thématiques.