Auditer la conformité de l’Unédic et formuler une stratégie d’amélioration
- Client : Unédic
- Durée de la mission : octobre - décembre 2023 (4 mois)
- Mots clés : Audit, Conformité, RGPD
Le contexte
L’Union nationale pour l’emploi dans l’industrie et le commerce (Unédic) est une association loi de 1901 en charge de la gestion du service public de l’assurance chômage. La mission principale de cette institution co-gérée par les partenaires sociaux, de ce fait unique en son genre, est la collecte des contributions des employeurs et des salariés, ainsi que le paiement des allocations de chômage aux personnes éligibles.
Elle veille également à la bonne application des règles d’indemnisation. Enfin, elle définit, en lien avec l’État et France Travail, des objectifs d’indemnisation et d’accompagnement des demandeurs d’emploi par France Travail, et suit leur réalisation à l’aide d’indicateurs et d’analyses.
Ces missions, et notamment celles d’analyses des politiques publiques menées sur un long cours conduisent l’Unédic à collecter, traiter et stocker un grand nombre de données personnelles. Son dernier audit de mise en conformité datait de 2018, bien qu’elle ait organisé une prestation de rénovation de la mise en conformité en 2022 (formations, sensibilisation, ateliers métier pour produire de nouveaux documents socle RGPD…).
Malgré un niveau de conformité satisfaisant, l’Unédic souhaitait être accompagnée dans la réalisation d’un audit externe RGPD de son activité, de ses axes d’améliorations et points de vigilance, mais également dans la détermination et l’activation du droit comme facteur d’obtention et d’utilisation de la donnée. Une illustration du droit et de la conformité comme un moteur de la création et de l’utilisation de data.
Le challenge
« Identifier l’état de maturité de la conformité de l’Unédic afin de structurer un plan d’action pour les corriger »
Le résultat
1 rapport de conformité
1 modèle de fiche de traitement
4 fiches-outils concrètes pour aider les correspondance à mettre à jour leur documentation et interroger leurs pratiques
7 fiches de sensibilisation sur des notions précises
Notre approche
Afin de structurer un plan de mise en conformité et d’encapaciter par la même occasion les équipes de l’Unédic en matière de protection des données personnelles, nous avons opté pour une approche en trois phases.
Cartographier et auditer la conformité à la façon de la CNIL
Afin d’appréhender le contexte spécifique de l’Unédic et de connaître les pratiques des agents, nous avons conduit plusieurs entretiens avec ces derniers, notamment avec le DPO. Cela nous a permis d’analyser avec davantage de justesse l’ensemble des documents de conformité existants et de répertorier l’ensemble des questions qu’un contrôleur de la CNIL pourrait se poser. Nous avons ainsi pu mettre en exergue les non-conformités majeures et les risques associés.
Planifier et formaliser une stratégie d’amélioration de la mise en conformité
Sur la base des enseignements de cet audit, nous avons formalisé un plan d’action détaillé et priorisé pour la mise en conformité de l’association. Nous avons également fourni plusieurs livrables, notamment une grille d’analyse de l’urgence de la mise en conformité en mettant en regard les manquements et les sanctions.
Mettre en oeuvre et encapaciter les agents de l’Unédic
Nous avons profité de la phase de mise en oeuvre pour encapaciter les agents. Chez Numéricité, notre objectif est l’autonomisation de nos clients, par l’échange mais aussi la transmissions de supports facilement compréhensibles et appropriables. Nous avons pu organiser des ateliers de coaching pour challenger des positions, des manquements ou des incohérences dans la conformité et leur suggérer des réponses à apporter en cas de contrôle. Ce sur des sujets plus ou moins complexes, comme par exemple l’utilisation du décret NIR par l’Unédic et les problématiques de pseudonymisation et d’anonymisation.
Notre audit a fait l’objet d’un RETEX devant les services de l’UNEDIC avec son DPO, à l’occasion duquel nous avons présenter l’ensemble de la démarche d’audit blanc.
Témoignages
« Avec Numéricité, j’ai pu bénéficier, ainsi qu’une partie des collaborateurs de l’Unédic, d’une mission sur la thématique RGPD qui n’était pas une mission de consultant classique, ni une mission ‘Slideware’. Pour autant, le savoir-faire et le savoir-être de l’équipe Numéricité ont su apporter des réponses pragmatiques et documentés aux référents RGPD et au DPO de l’Unédic, dans une expérience ‘conseil’ rénovée et rafraichissante qui a été très fortement appréciée. »