Déjà, pour ma part (autant le dire tout de suite) j’interviens en tant que DPO, consultant et lorsque je dois répondre à cette question devant un responsable d’un organisme, la mise en avant de nos services ne ferait que générer des doutes sur l’objectivité de mes réponses.
Donc je me suis dit qu’il ne serait pas incongru d’écrire le résultat de ma réflexion à froid, en essayant de rester au maximum neutre sur ma réponse.
Nous sommes sur la mise en conformité du RGPD à la croisée des chemins, entre l’aspect purement juridique de la Loi, la mise en œuvre de méthodes pour obtenir rapidement des livrables reconnus (il faut pouvoir prouver) et des conseils techniques pour répondre aux priorités des risques rencontrés.
Si on se limite au respect de la Loi c’est clairement un aspect juridique.
« Prenons donc un cabinet de juristes ! Faisons appliquer les recommandations juridiques à notre responsable informatique interne… »
Oui mais une fois le règlement connu et maîtrisé, quid des impacts, des priorités, et de sa mise en œuvre.
Mon responsable informatique saura t’il prendre en compte les conclusions sur les manquements au règlement pour y apporter des réponses opérationnelles. Sera-t-il libre d’orienter les actions résultantes sans mettre à défaut les choix techniques qu’il a pu faire auparavant ou ceux qu’il n’a pas fait ?
Reprenons un peu ce que nous dit la CNIL :
- « Constituez un registre des traitements »
- « Faites le tri de vos données »
- « Respectez le droit des personnes »
- « Sécurisez vos données »
En fait, la réponse entre cabinet d’avocat ou consultant spécialisé RGPD est simple : Pas de différence du moment que les intervenants connaissent le règlement, maîtrisent la méthode et puissent apporter les conseils techniques pour répondre à l’analyse des risques.
Pour Proximit, nous avons fait le choix de faire passer des certifications à nos consultants. Ils ont été choisis pour leurs expériences et expertises métiers et sont au cœur des règles juridiques sur la protection des données depuis plusieurs années.
Autre fait à prendre en compte, c’est que les responsables des structures clientes nous disent « nous n’avons pas le temps ! Mais nous avons compris qu’il fallait faire quelque chose ».
Parallèlement, une activité sensible liée au monde de la santé n’aura pas nécessairement la même approche qu’une PME ou qu’un artisan et pourtant ils doivent tous répondre au même règlement et à la même Loi…
Ensuite les approches peuvent être différentes en fonction des besoins et contraintes du client… Il est donc nécessaire de s'adapter, tout en veillant au respect du règlement et du droit national en matière de protection des données ;
Proximit a fait le choix de se positionner avec une approche très pragmatique, s'appuyant sur les livrables attendus par la CNIL et les contraintes du client, pour permettre au plus grand nombre d’envisager la mise en conformité sereinement, durablement sans générer une consommation excessive de ressources internes et reprendre la main sur la mise en conformité, à sa convenance, si souhaitée. Notre approche et très « agile » avec une démarche itérative, simple et rapide. Nous nous réunissions (client / DPO / consultant) uniquement lorsque c’est utile pour partager le fruit de nos travaux respectifs (en suivant la démarche) ou pour donner tous les éléments et conseils aux décisionnaires pour orienter les priorités de la structure.