Les Agences RGPD du Var et du Gard ont récemment été mobilisées pour mener l’audit de conformité RGPD mutualisé d’une Commune et de son CCAS, ainsi que d’une Communauté de Communes (composée de 7 communes et l’Office du Tourisme Intercommunal).
« La mutualisation s’est rapidement révélée pertinente en raison des liens fréquents entre la Mairie concernée et la Communauté de Communes, présidée par le Maire de la Commune initiatrice » témoigne Fabrice BARBEAU, dirigeant de l’Agence RGPD du Var. Il ajoute que « gérer un audit d’une telle envergure et faire face à une volumétrie de traitements aussi importante, dans un délai limité, nécessitait une approche simple et itérative ».
L’interview menée auprès de M. BARBEAU révéla qu’une communication transparente et une préparation en amont étaient essentielles, avec la nécessité de partager les processus, le mode de fonctionnement et l’organigramme fonctionnel de chaque structure concernée par cette mutualisation. Ces étapes ont été cruciales aux Agences RGPD du Var et du Gard afin de planifier l’audit et mobiliser l’équipe nécessaire.
Méthodologie déployée par les Agences RGPD du Var et du Gard en 4 phases distinctes :
Phase 1 – Phase préparatoire :
1. Désignation d’un référent interne qui se chargera d’établir la communication entre les auditeurs et les collaborateurs des différentes structures, mais surtout, à ce stade, de diffuser l’information auprès des collaborateurs et prévenir de l’audit à venir.
2. Récupération de la documentation par les auditeurs : En amont, beaucoup d’informations avait été récupérées, notamment les différents services, les organigrammes détaillées de chacune des structures, ce qui a permis, en amont, de pré cartographier l’ensemble des traitements (= pré identification des traitements en amont). Mettre en avance le retour d’expérience de l’Agence RGPD : qui lui permet d’identifier la volumétrie attendue – cette expérience est mise à profit des clients notamment pour équilibrer la répartition du temps consacré au service (maximiser, optimiser le temps) et derrière cela permet de construire le fameux planning minuté qui a été tenu par les Agences RGPD du Var et du Gard sur ces 5 jours, notamment parce que l’entité a été impliquée.
3. Préparation du terrain sur la base de la documentation récupérée + les retours d’expériences pour pré identifier etc
4. Etablissement d’un planning détaillé et minuté sur la base de cette préparation « post-audit » : Planning détaillé minuté : mobilisation de l’Agence du Var et du Gard (départ de 2 auditeurs, dirigeants des 2 structures) pour répartition des tâches et audit des services pendant 5 jours sur place en continu.
Phase 2 – Phase de lancement :
1. Note de service transmise au référent interne désigné pour diffusion auprès des collaborateurs quelques jours avant le lancement comprenant : une première explication sur les fondamentaux du RGPD + le planning détaillé + Liste de pré requis : c’est-à-dire ce dont les auditeurs avaient besoin (ex : catégorie de données traitées ; formats utilisés à savoir papier/numérique ; les logiciels et applications utilisés ; les interactions internes et externes effectuées ; etc) : Tout ces éléments ont permis de préparer les collaborateurs à l’arrivée des auditeurs, en effet ils connaissaient d’ores et déjà : les objectifs de l’audit ; quelles questions allaient leur être posées ; dans quels créneaux ils s’inscrivaient en fonction du planning réalisé.
2. T0 : Jour de lancement : réunion d’ouverture requérant la présence de la direction et des différents responsables de services. 1ère étape fut de re valider avec l’ensemble des personnes présentes, le déroulement du planning sur les 5 jours d’audit à suivre. La seconde étape était une sensibilisation d’une heure sur les fondamentaux de la législation applicable en matière de protection des données.
Phase 3 – Phase d’audit :
Interviews des différents interlocuteurs désignés : En back-office : les directeurs et auditeurs des Agences RPGD du Var et du Gard, s’étant rendus sur site, fonctionnaient en permanence avec une équipe mobilisée et restées sur place dans le Sud Est de la France. En effet, de par les temps courts d’audit et la volumétrie de travail, une communication quotidienne interne était faite entre les équipes de DPO – de manière à ce que puisse être traitées, les remontées du terrain pour la préparation et l’analyse du rapport de restitution.
Phase 4 – Phase de Restitution :
Réalisée en visioconférence avec la Direction (DGS, DSI, DRH, etc) = 2 heures de restitution permettant la délivrance de livrables tels qu’un rapport d’audit complet. La restitution comprenait :
1. L’identification exhaustive des traitements de données personnelles mis en œuvre (complétude de la pré-cartographie réalisée en phase préparatoire, avec les informations recueillies pendant les audits) ; les traitements prioritaires et sensibles ; la volumétrie des traitements
2. Le plan d’actions (retroplanning) permettant de fixer un objectif de maturité en fonction des priorité à mettre en œuvre.
Conclusion : les entités ont été motrices – cette orchestration et le respect de cette approche méthodologique ont permis d’être efficace : éviter les temps morts, éviter les déperditions, couvrir 100% du scope dans les délais imposés.