Comment le Groupe Solvay a-t-il initié sa démarche de mise en conformité au RGPD ?

Après une mission de mise en conformité au RGPD de plus d’un an pour le Groupe Solvay, leader mondial de chimie, j’ai proposé à Patrice Chelim, Head of Information Risks & Security du Groupe, de revenir sur la démarche mise en place.

Q : On entend beaucoup parler de RGPD et de protection des données à caractère personnel depuis presque deux ans. Aujourd’hui, on sent bien que cette donnée est partout. Comment le groupe Solvay a-t-il identifié qu’il était concerné par le RGPD ? 

R : Il est certain qu’avec l’arrivée du RGPD, la question que nous nous sommes posée est : cette réglementation est-elle pour nous ? Après tout, la collecte et l’utilisation des données personnelles n’est pas au cœur de notre métier de chimiste de spécialités, au contraire d’un Amazon, Facebook, Google ou Apple. Et pourtant, nous avons de la donnée clients, de la donnée d‘employés, des transferts de données hors UE, de nombreux partenaires, beaucoup de sous-traitants. Nous sommes donc arrivés assez vite à la conclusion nous étions concernés.

“La peur de l’amende ne peut suffire à elle-seule à assurer la réussite d’un projet de mise en conformité RGPD”

Q :   Est-ce que le fait d’être concerné par le RGPD suffit à obtenir la mobilisation des équipes en interne ?

R : Ma conviction est la suivante :  Pour que le sujet « prenne » dans l’entreprise, il y a besoin d’un sponsoring fort. Les décideurs doivent déjà avoir la conviction que la protection des données personnelles est un sujet d’intérêt pour l’entreprise.

Chez nous, il y a eu une prise de conscience, notamment avec la peur de l’amende. Mais elle ne peut, à elle seule, suffire,à assurer la réussite d’un projet comme celui là.  Les enjeux d’image et de confiance des clients sont, à mon sens, beaucoup plus importants pour mobiliser les ressources sur le long terme. 

“Le DPO est un mouton à cinq pattes, détenant une expertise sur tous les sujets, ou presque.”

Q : Partant de ces leviers d’action, quelle organisation avez-vous mis en place pour vous conformer à la réglementation ? 

R : Nous sommes partis du constat que le Délégué à la protection des données (DPO), celui qui orchestre la mise en conformité, ce mouton à cinq pattes, est un profil difficile à trouver. Il lui faut un expertise sur tous les sujets, ou presque : juridique, IT, sécurité, connaissance des métiers et des process. Nous nous sommes donc orientés vers la mise en place d’un office pluridisciplinaire rassemblant des personnes aux compétences diverses : le Data Protection & Privacy Office, et d’un board avec les décideurs.

Nous avons également fait le choix de nous faire accompagner. Mon sentiment est que tout seul on y arrive pas car la mise en œuvre du RGPD est complexe. Le support externe nous a permis d’interpréter la réglementation par rapport à notre activité, à structurer notre démarche  et à réviser nos processus afin d’intégrer ou améliorer la protection des données personnelles que nous traitons.

“Le RGPD ne se résume pas à la formalisation du registre des traitements”

Q : « Le  registre », « le PIA », « le privacy by design »… il peut sembler difficile d’identifier par quel bout initier la démarche ? Pouvez-vous nous expliquer par où vous avez commencé pour gérer ces différents chantiers ?

R : Une fois posées les bases de l’organisation, nous nous sommes attelés à l’inventaire des traitements de données personnelles mis en œuvre au sein de notre organisation. Nous avons commencé par le générique avant de rechercher les spécificités. Deux raisons à cela : déjà pour nous faire la main sur un sujet que nous ne connaissions pas un an plus tôt mais également pour débuter là où il y a du volume. Ce n’est que dans un deuxième temps que nous nous sommes attachés à identifier les trous dans la raquette et les particularités locales ou liées au recueil de données sensibles.

En amont de ce travail d’inventaire, nous avons eu un grand débat en interne : pour l’identification des traitements, devions-nous prendre comme point de départ les applications informatiques ou nos processus organisationnels ? C’est finalement la combinaison de ces deux options qui nous a permis d’avoir la vue transversale correspondant à la logique du périmètre des traitements.

Le RGPD ne se résume pas à la formalisation du registre des traitements. Aussi, parallèlement au travail d’inventaire, nous nous sommes préparés à réagir aux évènements occasionnels, en formalisant des procédures opérationnelles pour répondre concrètement aux questions : Comment réagir en cas de violation de donnée ? Comment répondre à une demande d’exercice de droit en provenance d’un salarié ? Qui mobiliser en interne en cas de contrôle d’une autorité sur site ?

Nous nous sommes vites rendus à l’évidence que pour avancer sur ces chantiers, celui de la formation et de la sensibilisation des salariés était primordial.

Nous avons donc réalisé des campagnes de formation pour nos équipes en commençant par les populations « à risque » : les RH, l’IT, les juristes, les chefs de projet, les commerciaux. Notre volonté était de les sensibiliser sur des cas d’usage propres à leurs métiers, en parlant «données à caractère personnel» dans le langage de leur métier, pour créer des réflexes. Ensuite, pour un vernis culturel ludique sur la protection des données, nous avons déployé un outil de gamification, à destination de l’ensemble des collaborateurs du groupe.

Q : Chez Solvay, à quel rythme avez-vous pu avancer ? Quel regard portez-vous sur l’avancée de votre démarche ?

R : Nous sommes allés assez vite au début, quand il a fallu défricher le sujet, comprendre la loi et ces implications. Puis très lentement nous sommes rentrés dans le vif du sujet en cherchant à traduire les obligations dans le contexte de notre organisation et en particulier pour recenser nos opérations et actions sur les données personnelles. Aujourd’hui nous avons davantage de maturité pour dire que nous ne sommes ni en avance ni en retard. Nous progressons.

“A mon sens, la conformité au RGPD se rapproche d’une norme qualité”

Q : La mise en conformité au RGPD ne serait-elle donc jamais terminée ? 

R : Oui, la protection des données personnelles est une nouvelle donne, nous vivons maintenant avec, et nous cherchons à la manier de façon intelligente, en particulier en l’intégrant à nos projets en amont. Elle pourrait d’ailleurs devenir un avantage compétitif par rapport à des sociétés non conformes, comme un élément d’évaluation de la satisfaction client. A mon sens, la conformité au RGPD se rapproche d’une norme qualité.

Q : Quelle est, pour vous, la suite de l’histoire ?

Nous allons continuer à identifier les traitements de données personnelles passés entre les mailles du filet lors de notre première vague de recensement, faire des analyses d’impact (PIA), continuer à sensibiliser, faire vivre l’organisation et la gouvernance Data Privacy que nous avons mises en place, intégrer le RGPD dans tous les dispositifs au local.

Q : Toutes les organisations ne sont pas forcément au même niveau de maturité que Solvay sur la protection des données à caractère personnel. Quels sont les conseils que vous donneriez aux Groupes, PME, TPE ou encore-startups pour se lancer ou renforcer leur approche ?

R : A mon sens, six principes peuvent faciliter une démarche de mise en conformité RGPD :

• S’assurer du soutien de la direction
• Adapter le RGPD à votre culture et organisation d’entreprise
• S’entourer des bonnes compétences
• Travailler sur les fondamentaux et les éléments concrets comme le registre et les procédures opérationnelles
• Prioriser : tous les chantiers ne peuvent se mener en parallèle
• Rejoindre ou se créer un réseau pour échanger avec des pairs sur des bonnes pratiques