Où en est la mise en œuvre du RGPD au sein des établissements financiers deux ans après son entrée en vigueur ? L’état des lieux réalisé par Novaminds dans son enquête annuelle sur la gouvernance et la protection de la donnée montre que si le niveau de conformité progresse, le chantier est encore loin d’être achevé.
Certes, « les entreprises ont globalement achevé le déploiement des éléments fondamentaux comme la définition de la gouvernance et des politiques de protection des données, l’organisation de la filière Data Privacy, la nomination du DPO et la sensibilisation des salariés et des acteurs de la Data Privacy grâce aux actions de formation », explique Gaël Duval, directeur chez Novaminds.
En revanche, le niveau d’avancement des travaux est plus hétérogène sur l’inventaire et le registre des traitements : « dans certains établissements, l’inventaire ne comprend pas encore tous les traitements des filiales ou le dispositif n’est pas encore industrialisé et outillé » souligne Gaël Duval. Même constat sur la mise en conformité du parc informatique et le déploiement des nouveaux processus, comme le privacy by design ou la gestion des demandes d’exercice des droits des personnes : « les premières versions sont bien sûr définies et utilisées, mais la version complète et industrielle n’est parfois pas encore déployée ». Enfin la mise à niveau des contrats fournisseurs reste encore largement à mener. Ce retard s’explique par le volume considérable de contrats concernés, mais aussi parce que ce chantier doit souvent être précédée d’une mise en qualité des bases « fournisseurs » pour identifier le périmètre et les traitements concernés.
En outre, un questionnement se fait jour sur l’organisation et les missions des acteurs en charge de la Data Privacy. Selon les dispositions du RGPD, la mission du DPO, positionné en 2e ligne de défense, consiste principalement à contrôler, conseiller et former les responsables de traitement qui constituent la 1re ligne de défense. Toutefois, pendant cette période ou les travaux de construction du dispositif RGPD en mode « Build » coexistent avec un mode « Run », le DPO peut parfois se trouver en position d’intervenir opérationnellement dans la mise en œuvre et le déploiement de certains processus de conformité. « Il ne faudrait pas que cette dérive des DPO vers des missions de 1re ligne de défense perdure, créant une situation de conflit d’intérêt », souligne Gaël Duval. « Le DPO devra revenir sur ses missions premières décrites dans la règlementation. Cela amènera des questions sur son profil, son positionnement au sein de l’entreprise et ne manquera pas de susciter une réflexion plus large sur les rôles respectifs des acteurs de la Data Privacy mobilisés en 1re et 2nde ligne de défense. »
