Au-delà du risque de sanction, la maturité RGPD d’une structure devient un véritable argument commercial auprès des partenaires économiques. Dans ce contexte, les entreprises se doivent d’accorder une importance croissante à la protection des données personnelles et leur mise en conformité en la matière. Cependant, au sein d’une structure organisationnelle complexe divisée en une multitude de filiales travaillant avec différents partenaires et traitants différentes catégories de données personnelles, la coordination des pratiques de gouvernance des données relève d’un imbroglio nécessitant une approche méticuleuse pour être résolu.
Il est donc nécessaire d’observer les défis particuliers auxquels une structure organisationnelle complexe, telle qu’une holding active, peut faire face dans la mise en place et l’harmonisation de pratiques de protection des données. Cette démarche permet dans un second temps d’analyser les bonnes pratiques ainsi que les stratégies efficaces afin de garantir une protection des données cohérente et robuste à l’échelle du groupe.
I - Les enjeux des structures organisationnelles complexes.
A) Les problématiques spécifiques aux holdings.
1. Un dispersement des activités et des données au niveau interne.
Nombreuses sont les entreprises opérant au travers de structures organisationnelles complexes, c’est-à-dire au travers d’une multitude de filiales, succursales et divisions en tout genre. Chaque organisme de cette structure va alors venir utiliser des données personnelles distinctes pour des traitements différents.
On peut notamment prendre l’exemple d’une structure au sein de laquelle une première filiale va être en charge des aspects marketings ou communication pour l’intégralité du groupe, tandis qu’une seconde va centraliser les ressources humaines pour le groupe. Ou encore disposant de filiale dans le domaine médiatique, de la distribution, des spiritueux, de la cosmétique, etc.
Cet enchevêtrement d’activités et de responsabilités, s’il n’est pas correctement mis en place au niveau du groupe, peut initialement apparaître comme un véritable frein à une mise en conformité globale. En effet, déterminer la mise en œuvre pratique des traitements de données, ainsi que les rôles de chaque acteur et leur implication dans les différents processus va nécessiter un travail supplémentaire.
2. Internationalisation de la holding.
Une stratégie commune de croissance des entreprises consiste à développer son activité à l’international afin d’intégrer de nouveaux marchés, mais également dans le but de sous-traiter certaines fonctions. Dans le cadre d’une structure complexe, de tels projets d’expansion peuvent impliquer la création de filiales ou le déplacement de certaines activités d’un établissement en dehors de l’Union Européenne. On se retrouve dès lors avec une multiplicité des règlementations et exigences en matière de protection des données, en fonction des données traitées et des traitements opérés.
Bien que des décisions d’adéquation de la Commission Européenne permettent des transferts dans certains pays assurant un niveau de protection suffisant, la majorité des pays ne rentrent pas dans ce cadre. De surcroit, nous avons pu déjà constater l’annulation d’une décision d’adéquation en 2020 lors de l’arrêt « Schrems II » invalidant le Privacy Shield relatif au transfert de données personnelles vers les Etats-Unis. Il est dès lors laborieux de naviguer entre ces exigences légales et d’assurer la bonne gouvernance des données par les différents organismes et partenaires du groupe.
B) Des conséquences dans la coordination des actions.
1. Un pluralisme de directives.
Dans ce contexte d’internationalisation, le groupe va nécessairement se retrouver confronté à des législations différentes en fonction de sa localisation, mais également du traitement de données qui est effectué.
Ainsi si une filiale est implantée au Mexique et que le recrutement est mis en place localement sans transfert de données extérieur mais que les opérations marketing sont effectuées par le biais d’une autre filiale située en France, le RGPD ne va s’appliquer que pour le second traitement, le premier étant alors soumis aux législations mexicaines en la matière.
Au-delà d’une multiplicité des législations, lorsqu’un groupe dispose d’une expertise étendue dans différents domaines d’activité et qu’il se retrouve à évoluer simultanément au sein de secteurs variés (e.g. Finance, Immobilier, Santé, Marketing), il va falloir faire face à des exigences métiers et des contraintes opérationnelles diverses et variées.
2. Une transmission d’informations complexe.
Cette structuration spécifique va entraîner une autre difficulté majeure : la transmission des informations entre les différentes structures du groupe. La coordination des actions de protection des données personnelles implique nécessairement une communication interne efficace. Or, on constate bien souvent des problématiques dans ce domaine au sein des entreprises, et d’autant plus dans les groupes d’entreprise. Tout ceci va entrainer des difficultés, voire des échecs, dans la coordination des actions dues à un manque d’engagement des employés, à la non-transmission des directives ou encore à des disparités dans les niveaux d’information des différents interlocuteurs.
Face à la complexité de ces défis, certaines solutions peuvent être adoptées afin de coordonner les actions de compliance RGPD au sein d’un groupe et de ses filiales, tout en prenant en compte l’éventail potentiel d’activités exercées au sein de ces structures.
II - Stratégies de coordination efficaces.
L’intérêt des différentes solutions proposées ci-après est d’adopter une approche proactive de la coordination des pratiques de protection des données afin d’assurer une mise en conformité durable.
A) Un encadrement affirmé de la protection des données.
1. La nomination d’un délégué à la protection des données (DPO).
La première étape face à un tel défi est de faire appel à un délégué à la protection des données (DPO), interne ou externe, disposant des moyens suffisants pour la mise en conformité d’une telle structure et pour une conduite du changement réussie. L’article 37, paragraphe 2, du RGPD prévoit qu’un groupe d’entreprises soit en mesure de désigner un unique DPO, avec pour seule condition qu’il soit facilement joignable à partir de chaque lieu d’établissement.
Ce faisant, la nomination d’un DPO mutualisé entre les filiales va permettre une coordination renforcée des actions de mise en conformité et des pratiques de protection des données. Par le biais de son rôle de pilote, le DPO va pouvoir dresser un bilan complet de la situation en prenant en compte l’activité globale et l’organisation du groupe. De la sorte, le DPO sera en mesure de recenser plus aisément la volumétrie de données concernées et les traitements qui en sont faits, ce qui lui permet ainsi de disposer des clés nécessaires à la détermination des sujets prioritaires et l’établissement d’un plan d’action.
2. L’établissement d’une politique de confidentialité commune.
Il est essentiel de déterminer une politique commune de protection des données avec les différentes structures du groupe afin de pouvoir garantir un niveau d’exigence uniforme concernant les données personnelles des clients et leurs traitements. Un tel document va permettre d’orienter les prises de décisions en imposant un cadre pour la gestion des données, ce qui va permettre un certain degré d’homogénéité des pratiques.
Si l’expansion du groupe dépasse les frontières de l’UE et que des transferts de données ont fréquemment lieu entre les organismes, la solution pour une mise en conformité réside alors dans la mise en place de règles d’entreprises contraignantes (aussi appelées « BCR »). Il s’agit d’une politique encadrant notamment les transferts intra-groupes de données personnelles hors de l’UE et devant être validée par les autorités de protection des données pertinentes. Dans l’esprit du principe d’accountability (ou redevabilité) instauré par le RGPD, les BCR vont permettre d’établir une politique de protection harmonisée mais aussi d’anticiper les évolutions internationales du groupe. De la sorte, il ne sera également plus nécessaire de conclure des contrats lors de chaque transfert de données personnelles entre des entités du groupe.
B) Le développement d’une culture RGPD au sein du groupe.
1. Une communication interne renforcée.
Afin de pouvoir diffuser les messages et actions internes de façon claire et cohérente, il est nécessaire d’établir un plan de communication interne efficace. Pour cela, en collaboration avec le service communication du groupe, il va notamment falloir déterminer les canaux de communication (intranet, affiche, newsletter d’entreprise, mail, etc.), les groupes de destinataires (tous les salariés ou uniquement les responsables de service, tous les services ou seulement certains, etc.) et la fréquence des communications.
A partir de là, la transmission d’informations, allant du message de sensibilisation à la politique de confidentialité, va se retrouver facilitée et renforcée. Cela va permettre de diffuser à grande échelle les politiques de protection des données et d’entamer une sensibilisation des collaborateurs sur ces problématiques afin d’instaurer au fur et à mesure une culture RGPD au sein de la holding et de ses filiales.
2. Formation et sensibilisation des salariés.
Toujours dans cette idée de développement d’une culture RGPD au sein du groupe, la formation du personnel est un point incontournable. En plus de faciliter l’acceptation et la bonne application des politiques et pratiques de protection des données, elle permet surtout une conformité durable dans le temps.
Au regard de l’importance stratégique des données pour les entreprises, il est désormais essentiel que les salariés soient acculturés à la protection des données. Au sein d’une organisation, la protection des données personnelles n’est pas seulement l’affaire de la direction ou de quelques-uns, elle relève de la responsabilité de chaque salarié. Cette prise de conscience peut permettre aux entreprises de présenter des garanties renforcées quant au respect des droits et libertés des personnes concernées.
Plus une structure croît, plus il sera ardu de s’assurer du respect de la totalité des filiales et des salariés à la politique de confidentialité et aux règles de sécurité informatique. Il est dès lors nécessaire d’œuvrer à une responsabilisation accrue des collaborateurs pour en faire de véritables acteurs de la gouvernance des données personnelles afin qu’ils se posent naturellement les bonnes questions et disposent des bons réflexes.
Conclusion.
La coordination des pratiques de protection des données au sein d’une structure organisationnelle complexe représente un défi conséquent pour de nombreuses entreprises. Cependant, en mettant en place des politiques et processus adaptés, il est possible de faire face à ces problématiques et garantir une gestion efficace des données personnelles. Une telle gestion est essentielle non seulement pour garantir la conformité réglementaire, mais également pour maintenir la confiance des clients et des partenaires commerciaux tout en protégeant la réputation de l’entreprise. En effet, une approche proactive de la protection des données permet aux groupes de transformer ces défis en opportunités et ainsi renforcer leur position sur le marché national et international.
