Le Règlement Général sur la Protection des Données (RGPD) est un sujet sensible pour toutes les organisations. La conformité reste encore complexe voire chronophage pour les responsables de traitement, avec des Délégués à la Protection des Données (DPO) souvent mal outillés. Dans cette interview, Narindra FREVILLE, DPO de BlueKanGo, partage son expérience… Elle explique pourquoi le module RGPD change la donne.
Le RGPD est-il encore un sujet en entreprise ?
J’ai travaillé comme consultante et DPO externalisé dans plusieurs secteurs. Bien souvent, la mise en conformité au RGPD est toujours un projet en cours. Malgré une entrée en application en 2018, c’est encore un sujet vaste et complexe. Souvent des actions de conformité ont été mises en place (ex : mise en place d’un bandeau cookie conforme, mise à jour de la politique de confidentialité), parfois les axes d’amélioration ont été identifiés dans des plans d’action mais ce n’est pas une généralité. De plus, avec l’arrivée de nouvelles normes européennes telles que le DSA, NIS 2, Règlement IA ou le CRA, les entreprises font face à un millefeuille législatif qui apporte une couche de complexité supplémentaire pour assurer une conformité légale.
Pour les établissements de santé, le sujet présente des enjeux encore plus forts, notamment de sécurisation des données puisqu’ils traitent des données de santé et des données médicales, des patients. Ce qui en fait des cibles de choix des cyberattaquants[1]. Il y a donc des hautes attentes et exigence en matière de sécurité de la donnée.
Quelles sont les principales difficultés en tant que DPO ?
La difficulté première, c’est la dispersion des informations : registres des traitements en version Excel et non mis à jour, procédures non communiquées voire inexistantes, violation de données non portées à la connaissance au DPO, visibilité réduite et suivi difficile sur les contrats signés (ou pas) avec les sous-traitants, etc. Cela peut vite devenir ingérable. À cela s’ajoute la complexité et l’évolution du cadre réglementaire appliqué au droit des données à caractère personnel.
Enfin, le DPO est souvent seul et sans budget alors qu’il est attendu sur plusieurs fronts, à la fois comme chef d’orchestre de la conformité, devant maitriser la technicité juridique, les enjeux métier et les exigences de responsable de traitement. Sans outil, il peut être difficile de tenir ce rôle de manière efficace et durable. A mon arrivée chez BlueKanGo, j’ai participé à la mise à jour de notre module RGPD que j’utilise maintenant en interne. J’ai mis à profit mon expérience passée dans sa conception avec comme objectif de soulager le quotidien des DPO et faciliter la mise en conformité et son maintien.
Quelles sont les avantages du module RGPD de BlueKanGo?
BlueKanGo apporte une réponse structurante à la conformité RGPD. Le logiciel centralise toutes les preuves de conformité, automatise une partie du suivi du plan d’actions, et permet de documenter et d’apporter des preuves en cas de contrôle (principe d’accountability). Grâce au module, le DPO n’est plus isolé, il dispose d’un véritable environnement collaboratif pour piloter la conformité de manière proactive où les métiers sont embarqués et mis à contribution. Par rapport à Excel, la solution apporte du confort et un gain de temps. Je peux suivre précisément le suivi des actions de conformité, savoir qui fait quoi et à quelle échéance. La force de l’outil c’est qu’il est modulable et paramétrable, capable de s’adapter et s’ancrer dans une logique globale de gouvernance du responsable de traitement. Enfin, la solution est pensée pour aller plus loin que la gestion des processus QHSE et RSE, l’outil permet d’éviter la multiplication des logiciels.
Quelles fonctionnalités te facilitent le plus le quotidien ?
Ce qui facilite le plus mon travail, c’est la combinaison de plusieurs briques au sein d’un même système. Le registre des activités de traitement est facile à tenir à jour, un arbre de décision accompagne le DPO pour savoir si une analyse d’impact sur la vie privée doit être mise en place, un analyse que je peux lancer à partir de mon activité de traitement. Le registre des violations de données reprend le système de notification de la CNIL, un vrai gain de temps. La gestion des demandes d’exercice de droits me permet de centraliser toutes les demandes. Cela constitue un vrai confort et une assurance pour éviter de perdre des informations et de répondre dans les délais légaux impartis. On peut également gérer les analyses d’impacts de transfert hors UE.
Le plan d’actions intégré me permet de déléguer et de suivre chaque tâche, et les workflows automatiques garantissent que rien ne tombe dans l’oubli. La gestion documentaire centralisée me donne des preuves solides en cas de contrôle, et la production de statistiques générales permet d’illustrer les rapports annuels et les reporting auprès du responsable de traitement avec des données claires et actualisées. Concrètement, on peut suivre des indicateurs comme le nombre de demandes d’exercice de droits avec un focus sur les droits exercés, le nombre de violation de données qui ont fait l’objet d’une déclaration CNIL ou auprès des personnes concernées. En pratique, je ne perds plus de temps à courir après l’information. Je pilote vraiment la conformité, au lieu de la subir.
3 points à retenir
- Le RGPD est un enjeu majeur autant pour les entreprises que pour les établissements de santé : il engage leur responsabilité et leur réputation.
- Sans logiciel dédié, le DPO est vite dépassé : Excel et les outils dispersés montrent rapidement leurs limites.
- BlueKanGo offre une solution complète et collaborative, qui transforme la conformité RGPD en un véritable pilotage sécurisé et durable.
Pour aller plus loin
➡️ Votre conformité RGPD avec le module BlueKanGo
➡️ Tout pour gérer votre système de management Qualité
