Lorsque Michael Apperger a pris son poste de délégué à la protection des données (DPO) chez Alfred Kärcher SE & Co. KG en 2019, le registre des traitements consistait en une feuille de calcul Excel.

En tant que leader mondial du domaine des équipements et des solutions de nettoyage, Kärcher compte plus de 150 filiales dans 80 pays. La société a été fondée en Allemagne où elle a son siège social. Michael Apperger est DPO pour la société mère ainsi que pour cinq autres filiales dans le pays.

Avec 25 ans d’expérience chez Kärcher, Michael Apperger avait le profil idéal pour devenir le DPO.  Il connaissait déjà les opérations, mais son expérience antérieure dans le service IT l’avait également préparé pour automatiser et rationaliser le processus de protection des données.

Aujourd’hui, Kärcher maintient un registre fiable des traitements, construit autour de la solution OneTrust : un système automatisé qui facilite le respect des lois sur la protection des données personnelles.

Repenser la protection des données

Dès le moment où M. Apperger a ouvert la première feuille Excel qui répertoriait les traitements de données, son objectif a été de remanier l’ensemble du processus.

« Mon collègue renseignait le fichier lui-même. Il avait bien des discussions avec les responsables de processus, mais c’est lui qui rédigeait les descriptions », dit-il. « Je pense que si l’on ne vit pas le processus, on ne peut pas le décrire. C'est au responsable du processus de le faire. »

M. Apperger a cherché une solution qui pourrait faciliter les traitements de données à grande échelle, de l’envoi de modèles personnalisés directement aux responsables désignés à la tenue d’inventaires de données à jour.

OneTrust s'est imposé comme le meilleur choix possible. « À ce moment-là, les autres outils pouvaient uniquement documenter les traitements. OneTrust était le seul à pouvoir faire ce dont nous avions besoin, et par là-même à pouvoir aider avec la conformité par rapport au RGPD et aux diverses lois sur la protection de la vie privée, avec la découverte de données et l’automatisation », déclare-t-il. « Après avoir comparé les différentes options, j’ai décidé que OneTrust était l’outil qu’il fallait à Alfred Kärcher et à ses filiales. »

Accélérer l’adoption avec des formulaires plus efficaces

M. Apperger a passé la première année à reconstruire le registre des traitements de Kärcher à l’aide des deux modules OneTrust : Automatisation des analyses d’impact et Cartographies et registres. Ces modules fonctionnent ensemble pour intégrer les modèles d’évaluation dans les systèmes existants et fournissent respectivement une vue en temps réel et complète des données de l’organisation.

Cependant, les premiers formulaires de PIA et d’AIPD ont révélé qu’il manquait un élément. « Nous posions les bonnes questions, mais les réponses des responsables n’étaient pas toujours valides car ils n’avaient pas une compréhension approfondie du RGPD », poursuit M. Apperger.

Les traitements de données étant faits dans l’ensemble de l’entreprise, des ventes et du marketing aux ressources humaines, les formulaires devaient s’adresser à un large public.

« Nous les avons raccourcis », dit-il. « Nous avons inclus uniquement les fondamentaux, soit environ 20 questions. Tous les e-mails que nous envoyons avec le formulaire comprennent une brève présentation de OneTrust et de ce qui peut être fait avec l’outil. »

Une fois les réponses soumises et passées en revue, M. Apperger rencontre le responsable du processus pour une discussion plus approfondie avant de donner sa validation finale. Le formulaire est régulièrement envoyé aux responsables pour qu’ils passent les traitements en revue.

Investir en interne

En plus de simplifier les formulaires, M. Apperger cherchait des moyens pour communiquer l’importance de la protection et de la sécurité des données. Il souhaitait sensibiliser les effectifs au RGPD et aux lois sur la protection des données. Il voulait également rendre les informations plus attrayantes pour ses collègues. Une meilleure compréhension conduit à des processus plus fluides.

«Tous les jours, nous recevons de nouvelles questions concernant le RGPD : Cette image constitue-t-elle une donnée personnelle ? Ces informations sont-elles des données à caractère personnel ?» selon M. Apperger. «Tout cela est nouveau pour l’entreprise. Nous avons documenté la manière dont nous mettons en œuvre la protection des données chez Kärcher dans un manuel de protection des données.»

Pour sensibiliser davantage l’entreprise à la protection des données, Kärcher a commencé à publier un bulletin trimestriel sur des sujets généraux de protection des données et les actualités des autorités de contrôle.

Grâce à ces conseils supplémentaires, M. Apperger et son équipe ont pu élaborer une stratégie de protection des données qui s’étend au-delà des frontières géographiques. À mesure que de nouvelles lois et réglementations entrent en vigueur et que les directives pour le transfert de données changent, il est essentiel que les entreprises gardent le contrôle de leurs données.

« C’est un des avantages de OneTrust : nous pouvons créer des champs personnalisés et les utiliser comme filtre pour identifier les traitements que nous devons modifier lorsqu’une réglementation particulière change », déclare M. Apperger.

Étendre le processus de protection des données à l’échelle mondiale

Une fois sa stratégie de protection des données en place, M. Apperger a commencé à présenter personnellement OneTrust aux autres DPO de Kärcher. Il a créé un autre manuel pour expliquer les différents modules qui aident à maintenir les traitements de données et à assurer la conformité au RGPD.

À partir de là, l’intégration de la solution fut facile. « Les filiales utilisent beaucoup de processus identiques. Il suffit donc souvent de faire des copier-coller », dit-il. Par exemple, le processus de recrutement en ligne de Kärcher est le même dans tous les pays. Ce processus étant déjà documenté dans OneTrust, il peut être copié et immédiatement appliqué dans toutes les autres géographies.

Le défi, cependant, était de répondre aux nombreuses demandes de données client reçues par les filiales. Les filiales de Kärcher opèrent en tant que pôles de vente dans leurs pays respectifs. Elles sont donc le principal canal pour les clients pour demander l’accès à, la correction ou la suppression de leurs données, un processus plus facile à dire qu’à faire.

Pour chacune des demandes, il faut vérifier sa légitimité, localiser les données dans différents systèmes disparates (notamment chez des tiers), déterminer les exceptions et documenter toutes les modifications.

« Cela nécessitait un changement d’état d’esprit et une nouvelle solution », dit-il. M. Apperger et son équipe ont utilisé les modules OneTrust d’Automatisation des demandes d’exercice de droits et de Découverte de données pour faciliter la gestion de ces demandes de données clients. En analysant automatiquement chaque environnement de données, il a pu rationaliser le processus de bout en bout, de l’admission à la découverte, en passant par le traitement, sur une seule plateforme.

Vers une meilleure gouvernance des données

Aujourd’hui, OneTrust est la colonne vertébrale de la stratégie de protection des données de Kärcher. « Nous avons maintenant une vue d’ensemble sur tous les traitements de l’entreprise et nos collègues comprennent mieux le RGPD », déclare M. Apperger.

« Je pense que le processus que nous avons actuellement est vraiment bon. À l’avenir, nous allons chercher à relier nos traitements entre eux pour voir comment les données sont créées et circulent dans l’entreprise. C’est très facile à faire dans OneTrust. »