Quels sont les outils que vous utilisez ? Quels sont les problèmes que vous avez au quotidien ? Si vous pouviez avoir l'outil de vos rêves, quelles fonctionnalités vous y mettriez dedans ?
C'est la conviction que le RGPD doit être l'affaire de tous qui nous a poussé à lancer cette grande étude qualitative, complémentaire de l’étude du ministère du travail , que nous vous présentons aujourd’hui : une étude pour identifier les besoins opérationnels des DPO en France.
Avec toute l'équipe, nous voulions creuser vos besoins opérationnels, mieux comprendre vos enjeux quotidiens, identifier vos points d'attention et vos attentes fonctionnelles... Nous avions la conviction profonde que la protection des données personnelles n'avancera pas sans l'appui d'outils et sans l'appui de tous les opérationnels : mais pourquoi faire ? Quels intérêts ? En quoi cela impactera votre quotidien ? Sur quoi avez vous besoin d'aide ?
Pendant près de 6 mois, nous vous avons posé des questions et vous nous avez confié les problèmes que vous rencontrez au quotidien dans votre structure. Vous nous avez confiés les qualités et les défauts des outils que vous utilisez, vos attentes, vos rêves pratico-pratiques et même vos idées pour faire avancer plus efficacement la protection des données dans votre structure. Vous nous avez inspirés !
Nous sommes donc très heureux de vous présenter les statistiques et les conclusions que nous avons pu tirer de vos réponses, en espérant qu’ils alimentent vos réflexions, et qu’ils vous poussent à réinventer à nouveau votre quotidien et votre approche métier de la protection des données à caractère personnel.
Parfois perçus par vos camarades opérationnels comme des ovnis au vocabulaire extraterrestre, vous vous battez avec vos moyens, pour faire de la protection des données personnelles une réalité dans vos structures ! Vous n'êtes pas seuls, voyez plutôt !
MĂ©thodologie :
La méthodologie utilisée est basée sur la méthode de questionnement SPIG, permettant d’identifier la Situation des sondés, les Problèmes rencontrés, les Impacts de ces problèmes, puis les Gains et enfin les freins à l’achat d’un outil. Nous avons ensuite anonymisé le fichier, et ressorti les tendances principales question par question.
Les questions ont été posées par téléphone à distance, auprès de sondés qui n’avaient pas encore connaissance de notre travail chez Dastra, de mars à novembre 2020, sur un panel de 60 DPO.
Les personnes interrogées ont été sélectionnées au fil de l’eau, sans stratégie spécifique, et ont prêté en moyenne une heure de leur temps pour mettre en lumière les besoins opérationnels exprimés par les professionnels du secteur. Nous les remercions chaleureusement.
Panel des personnes interrogées :
Sur tous les DPO interrogés, vous étiez plus de 50% à travailler dans des structures de plus de 500 salariés et plus. Pour la plupart d’entre vous, vous avez la charge d’être DPO mutualisé : vous gérez donc la conformité de plusieurs structures juridiques en même temps.
Vous étiez ensuite 20% à être DPO externe, et le reste DPO interne d’une entité juridique.
Question n°1 : quels sont les outils que vous utilisez au quotidien ?
Lorsque nous vous demandons les outils que vous utilisez au quotidien, nous retrouvons bien évidemment les outils qui font partis du kit du DPO de 2020 : l’outil PIA de la CNIL (73%), un outil pour gérer votre documentation (76%), et les outils de bureautique (60%).
Certains d’entre vous ont aussi développés leurs propres outils en interne pour la gestion du registre de traitement (26%). D’autres utilisent des outils de relations clients type CRM pour la gestion des exercices de droits (52%). D'autres, enfin, utilisent des outils pour collaborer en interne, du type Microsoft teams ou Jira (40%).
Ces chiffres nous montrent que les DPO sont créatifs pour trouver des solutions qui permettent de gérer les différents processus : vous utilisez pour la plupart des outils dissociés, pour certains « fait de bric et de broc » - vous nous l’avez dit, pour pouvoir faire avancer la conformité alors que vos budgets sont limités.
Concernant les outils du marché, vous êtiez près de 73% à connaitre au moins 1 outil du marché, près de 76% à envisager peut-être d’acquérir un outil à terme, et 22% à utiliser un outil d’un de nos confrères éditeur de logiciel.
Cela veut dire que vous aimez vous tenir informé des nouveautés, et surtout… que vous êtes une majorité à regarder de près les solutions proposées par les éditeurs. Alors, que dire aux irrésistibles gaulois qui prônent une conformité tout excel, avec toute la complexité de ce que cela représente… ?
Les outils sont là pour vous faire gagner du temps, de l’argent, mieux gérer les risques et aussi pour capitaliser sur votre patrimoine informationnel.
Nous avons interprété vos réponses et en avons ressorti 2 convictions :
- La nécessité en tant qu’éditeur que nous devions proposer un outil qui puisse s’intégrer à vos systèmes d’information : intégrons les processus propres à nos métiers aux outils utilisés par toute l’entreprise, pour pouvoir faire avancer la conformité au plus proche des opérationnels. Nous avons donc développé Dastra en API ouverte.
- Le besoin de centraliser tous les processus que vous mettez en place au même endroit, pour éviter les erreurs et gagner en qualité dans vos livrables. Lorsque tout est parsemé, n’est-il pas plus difficile de piloter son activité ? Comment capitaliser sur les données recueillies auprès des métiers lorsqu’elles sont réparties partout, dans tous les systèmes et toutes les applications ? Comment valoriser son patrimoine informationnel ?
Nous avons donc créer un modèle de données unique et une cartographie visuelle de vos traitements pour vous simplifier le travail.*
Question n°2 : quels sont les problèmes que vous rencontrez au quotidien ?
La liste est longue des problèmes que les DPO rencontrent au quotidien, et chez DASTRA, nous n’étions pas surpris : nous nous rendons compte que le RGPD est une règlementation structurante qui impacte l’ensemble de l’entreprise, et donc tous les métiers qui manipulent les données au quotidien. Convaincre des nouveaux clients n’est pas toujours un exercice facile, mais convaincre en interne peut parfois être encore plus complexe – les bons managers le savent bien, et vos réponses le montrent.
1. Les DPO sont encore trop isolés
A la 1ère place des problèmes quotidiens que vous rencontrez, nous retrouvons le manque de mobilisation des métiers (71% d’entre vous), suivi de près par la position peu claire des DPO vis-à -vis des équipes dirigeantes (66%).
Ces chiffres sont sans appel et montrent bien que les DPO sont encore trop isolés dans leur structure. Ils illustrent aussi la nécessité de faire preuve de pédagogie et de sensibilisation pour impliquer et faire comprendre davantage aux métiers et aux décideurs la valeur du chantier de protection des données personnelles que vous portez en interne.
2. Des difficultés à prioriser et piloter votre plan d'action
Vous étiez aussi près de 48% à identifier la difficulté de prioriser votre travail, avant le manque de budget alloué (40% des répondants) une charge de travail trop importante (35%), et le manque d’outil de pilotage (27%).
Nous comprenons donc que vous manquez de temps au quotidien, d'une part parce que vous faites face à la difficulté de prioriser les tâches, d'autre part parce que vous passez votre temps à aller chercher les informations. Lorsqu’on traite chaque jour les urgences, il est difficile de prendre du recul pour mieux s’organiser et mieux planifier, et le manque de visibilité globale de pilotage devient complexe.
Alors que l'on parle souvent du DPO comme un chef d'orchestre : nous nous rendons compte qu'il manque cruellement de moyen pour prioriser, piloter et gagner en efficacité.
3. Des difficultés pour collecter, organiser, visualiser et mettre à jour les données des registres
Quelques sujets spécifiques ont plusieurs fois attirés notre attention au moment d'évoquer vos problèmes : la difficulté à gérer et consolider votre registre – ou vos registres (27%), la contractualisation et l’actualisation des relations avec les tiers (27%), le Privacy by design (20%), la cartographie des données (20%), la veille juridique (18%), notamment.
Ces problèmes d'ordre opérationnels que vous êtes nombreux à nous remonter au quotidien, démontrent l'importance cruciale de bien organiser, modifier et rendre accessible les données inscrites dans vos registres. Nous le comprenons aisément : lorsque votre registre est à jour, d'une part cela devient plus simple d'installer des processus car vous pouvez prendre en compte les bons paramètres, et d'autre part vous pourrez vous concentrer sur les actions qui ont vraiment de l'impact : les mesures techniques, organisationnelles ou juridiques, les contrôles réguliers, le Privacy By Design, la sensibilisation, etc.
Nous pointons ici tout l'intérêt de passer d'un outil de bureautique comme Excel à un outil spécialisé : le registre est un moyen d'organiser son travail, pas seulement une fin. La gestion fine de vos données, de votre politique jusqu'aux mesures mises en place, seront inscrites dans votre registre... Mais comment rapidement mettre à jour les données sur Excel, et faire participer mes collaborateurs ?
Question n°3 : Si vous pouviez avoir l’outil de vos rêves, quelles fonctionnalités mettrez-vous dedans ?
Cette question, nous la posons systématiquement à tous nos clients, encore aujourd’hui, et souvent elle vous surprend. Elle est passionnante et criante de vérité : vous êtes pour la plupart passionnés par votre travail, et vous avez déjà beaucoup d’idées sur ce que vous aimeriez que l'on vous propose en terme d’outillage. Vous êtes, pour beaucoup, à l’écoute des solutions que peuvent vous proposer des éditeurs. Nous aussi nous vous avons écouté.
1. Gagner en efficacité et mieux prioriser
A la première place sans appel, vous êtes près de 93% à exprimer votre souhait d’optimiser votre gestion du (ou des) registre(s), et près de 40% d’entre vous souhaiteraient avoir même une cartographie visuelle de vos traitements.
Ces deux chiffres révèlent la vraie nature de vos difficultés : la manipulation des données du registre de traitement. Derrière vos réponses, se cachent bien souvent en réalté la nécessité de réduire les risques de mauvaise qualité des données intégrées. En effet, comment faire pour gérer les potentiels doublons, erreurs, mises à jour, sur Excel ? Un outil bureautique n'a pas la souplesse qu'un outil métier, ça n'est d'ailleurs pas son objectif.
Vous êtes (souvent) mal équipés, alors que vos enjeux sont de taille : réduire les risques d’erreurs dans votre registre, et rendre le registre assez souple et digeste pour vous faire gagner du temps lorsque vous installez des processus et faites contribuer vos métiers. En bref, augmenter la qualité de la cartographie tout en faisant participer tous les acteurs de l'entreprise est un enjeu clé pour la plupart des DPO.
Un autre chiffre est très édifiant : plus de 90% des sondés attendent d’un outil qu’il soit collaboratif. Piloter les équipes projets et mieux collaborer est également un enjeu essentiel, et vous avez besoin d’outils pour vous aider dans ce chemin : gestion du plan d’action, suivi des tâches, suivi avancés, système de validation, systèmes de notification, imports / exports, pilotage mensuel, étude de la vélocité de l’équipe, etc.
Vous souhaitez atteindre l’accountability, c'est-à -à -dire la responsabilisation de votre organisation. Pour y arriver, l’efficacité opérationnelle de la conformité apportée par un outil est ce que vous recherchez le plus.
2. Du legal design pour les impliquer tous
D’autres chiffres sont extrêmement édifiants concernant vos attentes : vous êtes 86% à demander un guide dans la construction de vos fiches de traitement, 63% à souhaiter accéder à un glossaire des fiches de traitement par secteur, près de 38% à rêver d’un registre prédictif pour vous apporter des conseils dans la mise au point de votre plan d’action en temps réel.
Vous rêvez donc de Legal Design, c'est-à -dire de rendre accessible le droit à des publics de non-spécialistes… Et vous avez bien raison. Mais pourquoi faire ? N’est-ce pas là un moyen d’impliquer vos métiers plus facilement ?
3. Automatiser des processus
Vous nous avez enfin donné plusieurs idées pour automatiser vos processus, que nous avons commencé à développer dans Dastra.
Vous les avez abordés de manière assez naturelle sur différents sujets : mapping de données (43%), gestion documentaire collaborative (40%), gestion automatisée des audits sous-traitants (36%), gestion des violations (30%), gestion centralisée des exercices de droit (33%), simplification et adaptation du PIA de la CNIL (30%), système d’alertes et warning (26%), workflows et notifications (26%). Oui, vous cherchez autant de simplicité que de... souplesse ! Et c'est normal, votre organisation est différente de votre voisin, vos processus aussi.
Enfin, vous êtiez extrêmement nombreux à avoir exprimé la nécessité de proposer une solution extrêmement paramétrable et flexible (63%) … et le message est passé, soyez en sûr. C’est toute la passion que nous donnons à notre travail : proposer une expérience simple au milieu de la complexité ! Challenge accepted !
Nous avons développé de nombreuses solutions suite à vos retours : cartographie visuelle et mappemonde de vos traitements ; legal design dans la construction de vos fiches, gestion de vos données en référentiels ; audits interne et de sous-traitants automatisés ; PIA automatisés ; collecte, centralisation et réponse aux demandes des exercices de droits ; gestion des violations, gestion de la documentation ; consentements...
Pour découvrir un peu plus la solution Dastra et notre travail, faites nous signe en vous créant un compte gratuitement, en cliquant ici., ou contactez nous pour échanger sur vos problèmes.
C'est en s'entraidant que nous arriverons à faire progresser ensemble la protection des données personnelles, alors faites nous part de vos retours, nous nous enrichissons de vos retours d'expérience !
Avec nos considérations,
L'Ă©quipe Dastra.