GDPR : qui doit prendre le leadership du projet ?
Si la GDPR est l’affaire de tous, et donc si chacun dans le management doit prendre sa part de responsabilité, une personnalité doit assurer le leadership.
Les incertitudes autour de la GDPR sont palpables. De nombreuses organisations s’interrogent encore sur le sens du règlement, plus encore sur son impact. Et donc de reconnaître ne pas savoir qui doit endosser la responsabilité… Pour certains, la GDPR est une responsabilité de l’ICT. D’autres pensent que le CEO est, en définitive, le principal -voire l’unique- responsable de la conformité. Dans les entreprises qui ont accueilli un CDO (Chief Data Officer), la question ne se pose plus : c’est lui ! Vraiment ?
En fait, s’accordent de plus en plus d’experts, tout un chacun a sa part de responsabilité. Les cadres supérieurs doivent donc travailler ensemble afin de permettre une transition en douceur vers la mise en conformité. Dans le même temps, il est nécessaire que quelqu’un supervise le projet. «Un leadership solide est important, déclare Duncan Brown, Associate Vice President, European Infrastructure and Security, IDC EMEA. Parfois, le projet peut revenir à quelqu’un qui se propose en disant : je dois en avoir la charge…»
Les efforts de mise en conformité doivent remonter tout en haut de l’entreprise. Celle-ci, en effet, ne peut être en totale conformité sans implication du conseil d’administration. «Après tout, c’est le conseil d’administration qui sera finalement responsable», remarque Saurabh Ghelani, Digital Trust & Privacy Advisor, PA Consulting Group. Et de préconiser une équipe à leadership transversal, comprenant de hauts représentants provenant de tous les secteurs d’activité, notamment le marketing, le service client et l’approvisionnement. «Cela permettra de faire de la mise en œuvre de la GDPR un succès», poursuit-il.
Délégué à la protection des données
Et si cette responsabilité revenait entièrement au DPO (Data Protection Officer) que certaines entreprises seront appelées à désigner d’ici à mai 2018 ? La tentation est grande. Ce serait évidemment plus simple. «L’intérêt du DPO n’est pas d’être un décideur afin de déterminer le traitement des données -par exemple, pour décider les logiciels à utiliser. Il doit être la vigie interne du traitement des données, son rôle n’est donc pas de prendre ces décisions», nuance Duncan Brown.
On le comprend, la GDPR n’est pas l’affaire d’un seul homme. «L’intégration du règlement ne relève pas uniquement de la responsabilité du DPO, estime Saurabh Ghelani. Il s’agit d’une question structurelle, qui requiert l’assistance de toutes les fonctions essentielles.»
Certes, le DPO est un moteur, notamment pour engager le projet dans un premier temps. Cependant, toutes les parties prenantes de l’écosystème des données personnelles ont un rôle identique à jouer dans le projet, puisqu’il impactera leurs rôles et leurs activités, insiste Saurabh Ghelani. «Si une entreprise n’a pas déjà nommé un DPO, la responsabilité de la conduite du projet doit être donnée à un représentant de la haute direction; une personne qui a la visibilité et un mandat à l’échelle de l’entreprise.» Il peut potentiellement s’agir du COO, voire du CEO. Ce type de rôle peut permettre à une organisation en réseau de mettre en œuvre la GDPR de la manière la plus efficace et efficiente.
Supervision du projet
La personne qui est amenée à superviser le projet dépend également des besoins individuels de l’entreprise. Dans ce cadre, il est important d’évaluer la façon dont l’organisation voit la GDPR. «Cela dépend de votre approche du règlement et de l’entreprise dans laquelle vous êtes, poursuit Duncan Brown. Par exemple, si vous êtes dans une organisation plutôt conservatrice en matière de dépenses informatiques et de risque commercial, il peut être souhaitable de se tourner vers le département juridique.»
En revanche, une entreprise peut considérer la mise en conformité GDPR comme une opportunité, auquel cas elle peut la mettre en avant pour se distinguer de la concurrence. Et Duncan Brown de citer l’exemple d’une entreprise belge qui s’occupe de données personnelles sensibles. «C’est tout naturellement le CEO qui a pris les choses en mains. Avec ce projet, cette entreprise joue son avenir !»
Il n’empêche : quiconque le supervise, cela doit être un projet transversal, ajoute Saurabh Ghelani. «Il s’agit de travailler ensemble, entre les services… Mobilisez une force de travail plus importante, pas uniquement le directeur des systèmes d’information et l’équipe informatique. Faites également contribuer le marketing, les risques et la conformité. La GDPR est la responsabilité de chacun !»
De là, encore, l’importance de la formation. Lorsque quelqu’un a été choisi pour superviser le projet GDPR et que l’entreprise tout entière est impliquée, la formation du personnel doit également être envisagée. «Nous sommes tous responsables à un certain degré de la conformité, insiste Duncan Brown. Les entreprises doivent s’assurer que tous les membres de leur personnel en sont conscients… Les entreprises envoient généralement leurs employés se former à la sécurité informatique une fois par an. Ce n’est pas suffisant, cela doit être un processus permanent !»