Le Règlement Général sur la Protection des Données du 27 avril 2016, adopté par le Conseil de l’Union européenne et le Parlement européen sera applicable à partir du 25 mai 2018 dans tous les pays membres de l’Union européenne, abrogeant la Directive 95/46/CE.

Cette présente étude est publiée le 18 mai 2017. Soit une année après la publication du règlement. Il reste donc 372 jours pour se mettre en conformité, en sachant que cette période ne représente que 266 jours ouvrés.

Certains initient des réflexions, d’autres ont déjà formalisé un plan d’action et les plus proactifs optimisent déjà les processus métiers prenant en compte les impacts organisationnels auxquels ils sont confrontés. Et vous, où en êtes-vous ?

Le Règlement Général sur la Protection des Données est aujourd’hui au cœur des préoccupations des entreprises. Les sanctions prévues par le règlement sont, pour un grand nombre d’entreprises, vues comme une véritable épée de Damoclès.

Au cours de nos missions, tant dans le secteur privé que dans le secteur public, deux questions nous sont posées de façon récurrente : comment doit-on organiser la gouvernance liées à la protection des données à caractère personnel ? Et par quoi devons-nous commencer ?
Ces deux questions ont été l’élément déclencheur de la rédaction de cette étude.

Nous avons effectué plusieurs entretiens auprès de Data Protection Officers de grands groupes confrontés à ces deux questions. Ces entretiens se décomposaient en deux parties. Une première traduite par une série de questions ouvertes concernant l’organisation du groupe, le ou les modèles organisationnels liés à la protection des données mis en place, les modes de gouvernance adoptés, les différents choix d’animation du réseau interne, les impacts organisationnels qu’implique le règlement ainsi que les avantages et les inconvénients pour chacun de ces facteurs. Par ailleurs, nous avons sollicité des organisations par le biais d’un questionnaire anonyme en ligne composé uniquement de questions fermées relatives aux actions effectuées ou pas dans le cadre de la mise en conformité au règlement.

Ce qu’il faut retenir c’est qu’il n’y a pas de schéma organisationnel de gouvernance bon ou mauvais. Quelle que soit l’organisation envisagée, elle devra tenir compte et répondre à des spécificités structurelles de l’organisme. Certains modèles pourront se cumuler pour répondre au mieux aux besoins d’un groupe avec un historique existant, alors que d’autres permettront a contrario d’initier une transformation nécessaire utilisant le Règlement Général de Protection des Données comme une opportunité d’optimiser l’organisation en place.