Conseil augmenté

La conduite du changement à la rescousse du RGPD ?

15 mai 2018

A quelques jours de l’échéance fatidique du 25 mai 2018, les entreprises doivent se conformer aux nouvelles règles en matière de gestion et protection des données à caractère personnel, induites par le RGPD.

Toutes les entreprises, collectant et traitant des données à caractère personnel sur les résidents de l’UE, sont concernées quelles que soient leur site d’implantation, leur nationalité, qu’elles soient utilisatrices, propriétaires ou juste hébergeurs de données pour un tiers.

Outre l’intégration de nouvelles notions complexes (« Accountability, Privacy by design, Security by default, Data breach notification, … »), les dirigeants d’entreprises doivent gérer en urgence les transformations organisationnelles nécessaires pour être en conformité, mais surtout pour le rester au sein d’un environnement en perpétuel mouvement, où la donnée joue désormais un rôle central.

Le RGPD est un bouleversement considérable pour l’entreprise, qui s’inscrit dans sa transformation digitale et impose un changement de culture dans toute l’entreprise.

Alors que les débats autour du RGPD se focalisent sur les difficultés à affronter – complexité, sanctions financières, manque de préparation et d’accompagnement des entreprises, risque d’atteinte à la réputation – nous avons pu identifier le RGPD comme un véritable allié de la stratégie de développement de l’entreprise et une opportunité pour mieux gouverner les données des clients. Pour réussir cette mise en conformité dans la durée, c’est toute l’entreprise qui doit se mobiliser : les métiers, les RH, les équipes informatiques ou digitales, ou data, les experts en sécurité, les juristes, … mais aussi et surtout les dirigeants et l’ensemble des collaborateurs. Cela implique la mise en place d’une démarche de conduite du changement de la « protection des données personnelles », étendue à l’ensemble des échelons et des métiers, impulsée par une dynamique collective.

Nos retours d’expérience ont permis de nous forger 6 convictions pour réussir ce changement de culture :

#1 Dirigeants et comité de direction : sponsorisez activement la démarche !

Nous avons pu constater que les dirigeants ont souvent été informés de la nouvelle réglementation par une brève introduction lors d’une instance décisionnelle (Codir, Comex, Excom), et par la désignation d’un sponsor officiel (généralement membre du Comex), comme pour n’importe quel projet. Or, cette initiative est insuffisante dans le cadre du RGPD, pour atteindre le fameux « Accountability » !

La protection des données personnelles doit s’inscrire au cœur de la structure organisationnelle et culturelle de l’entreprise. Cela implique de désigner un Data Protection Officer (DPO), qui sera le référent vis-à-vis des autorités de contrôle et chargé de mettre en place les mesures et processus adéquates.

L’ensemble des équipes traitant des données personnelles, des RH au marketing, doivent donc être formées afin de fédérer tous les acteurs :

cybersécurité, juridique, audit interne, métiers, …pour que les mesures de mises en conformité soient intégrées en amont et au sein de tous les processus de l’entreprise.

Une fois le cadre organisationnel, décisionnel et de suivi de la conformité de la RGPD définit, celui-ci se doit de traiter le SLA, les reporting, la traçabilité des mesures déployées, les indicateurs de performance, sans oublier d’identifier les éventuels impacts contractuels avec les fournisseurs et sous-traitants, ce qui demande d’allouer des budgets et des ressources dédiées.

 

#2 Créez un réseau de « RGPD champions » (ambassadeurs) pour co-créer une démarche « data-friendly »

Pour les collaborateurs, le RGPD invite à adopter une démarche « data-friendly », autrement dit à repenser la façon dont ils abordent un projet, à adopter une politique de protection de la vie privée lors de la conception, du développement et du déploiement d’un nouveau projet. C’est d’autant plus vrai pour les fonctions gérant de la donnée clients car il leur faudra s’assurer que les informations sont explicites et transparentes en permanence, que des consentements sont requis au préalable pour des actions générant de la collecte de données, qu’il n’y a pas de partage des données personnelles des utilisateurs, que ces derniers ont la possibilité de modifier ou supprimer leurs informations….

Ce changement d’approche profond de l’appréhension du cycle de vie de la donnée doit être porté par des ambassadeurs.

Le concept « ambassadeur » n’est, certes, pas nouveau au sein des organisations mais indispensable pour générer un changement de culture dans toute l’entreprise.

Nous appelons ces ambassadeurs des « Data Privacy Champions », des experts de la protection des données personnelles, ayant participé à la construction de la démarche « data-friendly » en amont avec les parties prenantes.

Ces « Champions », répartis dans toutes les fonctions de l’entreprise, permettent de porter et d’accélérer le changement de culture souhaité dans les domaines fonctionnels clés de l’entreprise, notamment auprès des fonctions les plus impactées par le RGPD : RH, Marketing, Digitale et Data.

Voici quelques responsabilités des « Data Privacy Champions » :

  • Agir en tant que « Rôle modèle » pour les concepts et les tâches liées à la protection des données
  • Comprendre les impacts clés du RGPD sur l’organisation et spécifiquement sur son service ou département
  • Comprendre les livrables, les jalons clés et le calendrier du programme de protection des données
  • Relayer les communications de programme en cascade vers les équipes
  • Participer à des sessions de formation des formateurs (« train the trainer »)
  • Fournir un soutien continu aux collaborateurs de son propre département

 

#3 Experts RGPD : communiquez efficacement en langage business !

Le sujet reste trop souvent fermé au niveau de l’équipe projet RGPD avec des experts juridiques, informatiques, sécurité pour produire et dérouler un plan d’actions avant la date fatidique du 25 mai 2018.

Les métiers ont vaguement entendu parler d’un programme RGPD géré par le DPO, le RSSI ou un chef de projet de la DSI sans comprendre opérationnellement ce que cela va changer dans les activités de tous les jours.

L’équipe projet RGPD ne peut pas être seulement constituée d’experts juridique, technique ou sécurité. Elle doit intégrer des opérationnels capable de comprendre l’ensemble des implications du RGPD et particulièrement ses impacts concrets sur les métiers.

L’objectif sera de dialoguer en langage business avec les équipes de la DSI, du digital, du marketing, de la direction des ressources humaines mais également de la direction de la stratégie et des responsables business.

 

#4 Sensibilisez tous les collaborateurs

La protection des données personnelles concerne tous les collaborateurs.

Par exemple, la mise en place d’un nouvel outil de CRM pour le marketing, la mise à jour du site institutionnel, le déploiement d’une nouvelle application RH de gestion des congés, la mise en place d’une newsletter clients sont autant de services qui collectent et traitent des données personnelles. Tous les nouveaux projets ou nouveaux services sont spécifiques selon la nature des données, les applications informatiques utilisées (Cloud ou On premise).

Il est donc indispensable de former les collaborateurs et de créer une véritable culture de la « protection des données » au sein de l’entreprise.

Des campagnes de sensibilisation doivent être menées tout au long de l’année pour permettre aux collaborateurs de mieux comprendre le RGPD, en s’appuyant notamment sur les « Data Privacy Champions ».

 

#5 Ciblez et formez les collaborateurs les plus impactés

Les collaborateurs les plus impactés par le programme, et particulièrement ceux en contact avec les données personnelles des clients, doivent bénéficier d’un accompagnement renforcé.

Il faut privilégier la mise en œuvre d’actions spécifiques par cible, avec des messages/contenus personnalisés tout en capitalisant sur l’ensemble des canaux de communication internes pour assurer l’appropriation du programme par tous les collaborateurs.

 

#6 Créez des espaces collaboratifs RGPD

Le RGPD est un sujet complexe à appréhender, particulièrement pour des profils non-juridiques.

Afin d’éviter les appréhensions et les résistances induites par le déploiement de mesures de mise en conformité, nous recommandons de créer des espaces collaboratifs dédiés, physiques et/ou digitaux. Il s’agit de créer des environnements ouverts, porteurs de modes de fonctionnement collaboratifs, agiles, expérimentaux et créatifs. Mais également de faire vivre une acculturation immersive permettant de favoriser l’apprentissage de notions complexes en lien avec le RGPD pour mieux stimuler la capacité d’apprentissage et la bonne catalyse des savoirs de chacun.

Cela implique, pour le collaborateur, d’aller à l’information pour se l’approprier et non la subir, pour susciter l’envie de découvrir et d’apprendre plutôt que de suivre depuis son ordinateur un parcours de formation conventionnel.

Ces espaces de travail doivent être envisagés comme un outil de stratégie et de management de la conduite du changement permettant de renforcer la coopération entre les collaborateurs et l’interdisciplinarité nécessaire au RGPD.

Concrètement, nous imaginons pour nos clients un parcours scénographique pour plonger le collaborateur au cœur d’un univers immersif et interactif. Les enjeux étant de démystifier le RGPD, d’assurer un dialogue entre la direction et les opérationnels autour du sujet, de faire appréhender les bonnes pratiques qui participent à la transformation managériale et à l’innovation organisationnelle de l’entreprise.

Cela permet ainsi de faire adhérer les collaborateurs aux nouvelles façons de travailler induites par le RGPD et de favoriser leur engagement dans la durée.

 

Comment réussir le changement culture ?

Plusieurs approches sont possibles. Parmi lesquelles l’utilisation de la méthode weave en 3 étapes

Voyons quelques exemples de résultats

Immersion

  • Diagnostic à 360° selon 3 axes
    • Humain : identifier les différentes populations ciblées
    • Business : cartographie des données selon le cycle de vie de la donnée et si besoin, effectuer des analyse d’impacts relatives à la protection des données (DPIA)
    • Technique : identifier les systèmes et les applications sous-jacentes (Privacy by Default avant de consolider le Privacy by Design

Impulse

  • Kit de déploiement Ambassadeurs « protection des données personnelles »
  • Séminaire « Train the Trainer » pour former les ambassadeurs
  • Passeport « protection des données personnelles » : contenus de formation, postures de changement, bonnes pratiques…

Accelerate

  • Séminaire Ambassadeurs avec test du kit de déploiement et partage autour de leur rôle et contribution
  • Création d’un espace dédié (physique et/ou virtuel) au programme facilitant l’appropriation de notions complexes
    • Espace 1 : présentation de l’aperçu global des enjeux et contenus clés du programme
    • Espace 2 : mise en marche de projets compatibles avec le programme à partir des retours d’expérience des pionniers
    • Espace 3 : Développement de nouvelles façons de travailler et co-construction sa propre feuille de route
  • Développement d’applications et outils aux service des métiers pour assurer l’acculturation dans la durée

 

Conclusion

Pour accélérer le changement de culture nécessaire à la mise en place du RGPD, les organisations doivent donc sensibiliser et responsabiliser leurs collaborateurs tout en bénéficiant du support de la direction générale. Cette nouvelle réglementation constitue une formidable opportunité pour adopter de nouvelles façons de travailler innovantes autour de la gestion du cycle de vie des données et en faire ainsi un avantage concurrentiel.

Newsletter

Inscrivez-vous à notre newsletter pour recevoir nos dernières actualités

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour mesurer notre audience, vous proposer des contenus et des offres personnalisées, ainsi que des fonctionnalités de partage sur les réseaux sociaux. En savoir plus.