[Avis d'expert] Le 25 mai approche et, sans surprise, toutes les organisations ne seront pas prêtes le jour J. Et la nomination d’un DPO n’y changera rien. La solution ? Se faire accompagner par un spécialiste de la question pour enfin savoir par où commencer. Michaël Dumoulin, Responsable Sécurité et Développement Durable, mais aussi DPO de PRO ARCHIVES SYSTEMES, nous livre sa vision des choses.
Nous assistons en ce moment à une véritable course à la conformité RGPD. Il y a d’un côté ceux qui s’estiment prêts, de l’autre ceux qui ne le seront pas, et, entre les deux, ceux qui vont s’efforcer de l’être. J’imagine que vous êtes aussi confronté à différentes problématiques...
Effectivement, beaucoup de clients sont encore loin du compte et n’ont pas pleinement mesuré le chemin à parcourir pour être en conformité le 25 mai. Nous avons récemment rencontré une organisation dans le secteur de la santé qui souhaitait externaliser ses archives physiques et numériques. Au départ, le RGPD ne faisait pas partie des enjeux de notre dialogue, mais quand nous leur avons posé la question, le sujet est devenu soudain proéminent. Et il désire maintenant, en plus de la prestation d’externalisation de leurs archives, un accompagnement à cette mise en conformité. D’autres organisations, en revanche, se sont déjà emparées du sujet depuis l’an dernier et ont entamé des démarches en ce sens.
Quels types de démarches ?
Nous avons, par exemple, un client dans le domaine de la banque-assurance qui travaille avec des données sensibles et qui a embauché une dizaine de personnes à temps plein (des juristes, mais pas seulement) pour aborder correctement le sujet et pouvoir le couvrir. Ce groupe s’interrogeait sur la gestion de ses archives physiques et numériques. Nous avons donc réalisé un audit de ce fonds et nous nous sommes aperçus qu’il y avait des manquements flagrants dans ce domaine, que les typologies de classement étaient un peu anarchique et qu’aucun délai de conservation n’avait été défini.
Et qu’avez-vous fait ?
Nous avons complètement remis à plat la façon de gérer les archives et opérer une refonte du plan de classement. Désormais, pour chaque typologie d’archives correspond un délai de conservation. Une fois ce travail effectué, sur le volume d’archives conservé, le client s’est aperçu qu’à peu près 40% des archives stockées chez nous pouvaient être détruites. L’avantage de cette mise en conformité lui a donc immédiatement sauté aux yeux. Mais outre ces économies sur la conservation physique d’archives, le groupe a pu revoir sa façon de travailler et de gérer les archives. On entre alors dans une autre dimension : celle de la conduite du changement.
Ça, c’est pour les organisations qui ont déjà pris le sujet à bras-le-corps. Et pour les autres ?
La plupart veulent tout simplement savoir si leur gestion documentaire est conforme au RGPD. Nous réalisons donc un audit des fonds d’archives, puis nous dressons des préconisations et établissons un plan d’actions de mise en conformité. Notre rôle est d’accompagner les organisations sur cette partie administrative nécessaire à la conformité et sur la conduite du changement. Car le RGPD implique une transformation des méthodes de travail. On s’aperçoit que certaines pratiques ont cours depuis longtemps dans les organisations et que pour les faire changer, c’est souvent compliqué. Notre rôle est à ce moment-là de bien expliquer les choses, de sensibiliser les collaborateurs au fait qu’on ne peut plus faire n’importe quoi avec les données personnelles, d’accompagner et d’apporter une aide constructive. Il est important dès lors que tous les services de l’organisation s’imprègnent des attentes du RGPD et aillent dans le même sens. La démarche de conformité doit être collective.
Les organisations prennent cela plutôt comme une contrainte, ou une opportunité ?
C’est en général assez bien perçu. Le fait d’être obligé de se poser des questions sur ses méthodes de travail, c’est peut-être d’abord embêtant, mais rapidement les organisations y voient leur intérêt. Et pour cela, la communication est essentielle. Beaucoup sont effectivement réticents au départ, mais sont, au bout du compte, ravis par les retombées positives des changements qu’implique cette mise en conformité. Le RGPD draine donc aussi avec lui certaines opportunités.
Et le rôle de DPO, comment est-il perçu ?
Nous nous apercevons que certaines organisations veulent externaliser la fonction de DPO et nous demandent même d’assurer cette prestation. Cela peut être intéressant surtout pour les structures qui n’ont pas forcément les ressources humaine et financière pour avoir un DPO en interne. Certaines entreprises estiment qu’avoir un partenaire expert pour assurer ce rôle, peut être très utile. D’autant que le DPO peut tout à fait être externalisé, et que chez PRO ARCHIVES SYSTEMES nous avons cette compétence.
Vous fournissez aussi des conseils en termes d’outillage technologique ?
Bien entendu, nous faisons des préconisations autour de solutions que nous développons en interne. Nous avons, par exemple, un outil de versement d’archives qui respectent les préconisations du RGPD, mais aussi des outils de Ged et de coffre-fort numérique. Toutes ces solutions sont à un très haut niveau de sécurité informatique. In fine, nous nous efforçons de dupliquer pour nos clients, ce que nous avons mis en place avec succès chez nous.
Michaël Dumoulin
DPO & Responsable Sécurité et Développement Durable
PRO ARCHIVES SYSTEMES
Michaël Dumoulin a fait ses débuts chez Pro Archives Systemes au début de l'année 2015 comme Adjoint QSE, avant de devenir Responsable Sécurité et Développement Durable en novembre 2017. Il a été nommé DPO en mars 2018.