Dédramatiser le RGPD au sein d’une petite équipe
- Client : Prévention Retraite Île-de-France
- Depuis Juin 2024 (en cours)
- Mots clés : Conformité, Audit, et RGPD
Le contexte
Le PRIF, pour Prévention Retraite Île-de-France, est un groupement de coopération sociale et médico-sociale (GCSMS) fondé en 2011 sous l’impulsion des trois caisses de retraite majeures du régime de sécurité sociale : la Mutualité Sociale Agricole d’Île-de-France (MSA), la Caisse nationale d’assurance vieillesse en Île-de-France (CNAV) et la Sécurité sociale des indépendants. Ces trois organismes en assurent la gouvernance.
Le PRIF a pour mission de créer, de coordonner, de développer et de financer des actions de prévention santé à l’attention des personnes retraitées en Île-de-France. Elles s’adressent à des personnes “autonomes” et visent à diminuer ou ralentir l’incidence de maladie ou d’altérations physiques, psychologiques ou sociales et notamment celles liées à l’avancée en âge, au moment de la retraite. Le Prif vise aussi à développer l’expertise et l’ingénierie en prévention de manière partagée avec l’ensemble des acteurs engagés dans la démarche et faire évoluer le regard porté sur le public retraité.
Pour les équipes du PRIF, le RGPD était devenu un tabou : elles ne savaient plus où s’arrêtaient leurs obligations et leurs responsabilités. Elles ont fait appel à Numéricité afin de conduire un audit de leur conformité et développer des bonnes pratiques en la matière.
Le challenge
Le résultat
Notre approche
Afin de se faire une véritable opinion quant à la documentation de conformité existante et au travail du précédent DPO, nous avons opté pour une approche en trois phases :
Cartographier et auditer la conformité
De manière assez original, nous avons fait face à une forme d’obésité informationnelle. Au PRIF, tout était documenté, la conformité était partout et protéiforme. L’équipe salariée passait un temps important à comprendre les procédures et à chercher à respecter à la lettre les partis-pris choisis par les personnes chargées de la conformité. Il a fallu analyser cette somme documentaire et mieux connaître les réelles pratiques des agents. Pour cela, nous avons conduit plusieurs entretiens avec ces derniers. Cela nous a permis d’analyser avec davantage de justesse l’ensemble des documents de conformité existants et de constater qu’ils avaient beaucoup de documents facultatifs. Ils avaient aussi quelques incompréhensions, notamment concernant la durée de conservation des données et le principe de minimisation.
Proposer des solutions opérationnelles pour répondre aux non-conformités les plus urgentes
Sur la base des enseignements de cet audit, nous avons formalisé un plan d’action détaillé et priorisé pour la mise en conformité. Nous avons également fourni plusieurs livrables, notamment une grille d’analyse de l’urgence de la mise en conformité. L’objectif était de rendre plus opérationnel, plus concrète et plus simple la documentation préexistante.
Dédramatiser les traitements à faire
Chez Numéricité, notre objectif est l’autonomisation de nos clients, par l’échange mais aussi la transmissions de supports facilement compréhensibles et appropriables. Étant donné que le Prif repose sur une petite équipe, les personnes partageaient toutes les mêmes cas d’usage. Nous avons basé nos ateliers de sensibilisation “pas à pas” sur ces cas d’usage pour formuler des solutions collectives.
En 2026, notre accompagnement auprès du PRIF a repris ! Cette fois-ci, il s’agissait de simplifier et mettre à jour les fiches de traitement, cartographie les données, clarifier les bases juridiques, s’assurer du consentement des personnes, et déterminer les fondements juridiques des traitements de données. Nous avons également poursuivi notre travail sur les sous-traitants et la contractualisation et avons animé des ateliers de sensibilisation sur les fuites de données.
Prochaines étapes
Notre accompagnement va se poursuivre afin de préciser les habilitations, renforcer la sécurité des données et clarifier les droits des usagers vis à vis de leurs données.