Et si on se donnait les moyens d'avancer dans la gestion des données personnelles ?
A travers cet article, nous vous proposons une méthode de travail - qui a déjà fait ses preuves dans de nombreux domaines - et que toutes les DSI connaissent par cœur. Alors, comme chez Dastra, on croit que la gestion du RGPD c'est aussi une affaire de DSI -mais pas que - on vous propose de passer en méthode agile pour mettre un coup d'accélérateur sur la conformité RGPD.
Un maitre mot : n'ayez pas peur du changement. Si vous constatez que ça n'avance pas dans votre organisation, ça veut dire que la méthode utilisée n'est probablement pas la bonne. C'est l'occasion de tester autre chose !
Vous y gagnerez en efficacité et en gestion de projets. La méthode va vous permettre d'être en autopilote ! En plus, vous gagnerez le respect des équipes dev et elles seront peut être plus impliquées dans votre travail et dans la conformité (pensez Privacy By design).
Voici quelques ingrédients dont vous aurez besoin :
- une bonne équipe prête et motivée : si vous êtes seul, regardez du côté des alternants (il y a énormément qui cherchent et les subventions de l'Etat sont très intéressantes)
- un bon outil : Dastra bien évidemment mais ça marche aussi avec un bon outil de gestion de projets type Atlassian
- la volonté : changer ses habitudes, c'est le plus difficile, vous demandez à tous vos collègues de changer leur vision des données, mettez vous à leur place
- ne pas avoir peur des anglissimes (c'est une méthode de développement informatique au départ)
- lire cet article jusqu'au bout
La recette : la méthode SCRUM adaptée au RGPD
Le SCRUM est une méthode agile de gestion de projet qui peut également être utilisée pour se conformer au RGPD. Le SCRUM est souvent utilisé dans les projets informatiques, mais il peut être appliqué dans tout type de projet. Il est basé sur des cycles de développement itératifs et sur la communication fréquente entre les membres de l'équipe.
Chaque lettre représentant un élément de la méthodologie :
| Lettre | Signification |
|---|---|
| S | pour "Sprint" : une période de temps fixe pendant laquelle l'équipe travaille à la mise en œuvre des fonctionnalités du produit ; |
| C | pour "Cadence" : la fréquence régulière à laquelle les Sprints sont planifiés et exécutés ; |
| R | pour "Roles" : les rôles clés dans la méthodologie SCRUM, y compris le Product Owner, le Scrum Master et l'équipe de développement ; |
| U | pour "User stories" : des descriptions courtes et simples des fonctionnalités du produit, écrites du point de vue de l'utilisateur final ; |
| M | pour "Metrics" : des mesures utilisées pour surveiller la progression du projet et identifier les domaines qui nécessitent des améliorations. |
Voici comment le SCRUM peut être utilisé pour se mettre en conformité avec le RGPD.
Les 5 étapes de la méthode
Préparation : créer les sprints
Avant de démarrer, il est nécessaire de configurer des itérations ou des sprints (des cycles de temps). Par défaut, nous recommandons des cycles d'un mois (en général, les cycles vont de une semaine à quinze jours).
Prévoyez quelques cycles. Vous pourrez les ajouter au fur et à mesure. Ici nous avons par exemple nommé les cycles par date de début du cycle.
Une fois les cycles créés, vous allez pouvoir attaquer le dur !
1 - Élaboration du backlog :
Le backlog est votre réservoir de tâches. Cette étape consiste à créer une liste des tâches nécessaires pour se conformer au RGPD. Cela peut inclure l'identification des données personnelles traitées, l'évaluation des risques, la mise en place de processus de gestion des données, la documentation des politiques et procédures de sécurité, la formation du personnel, la mise à jour des politiques de confidentialité et de protection des données, etc. Le backlog doit être régulièrement mis à jour pour inclure les nouvelles exigences et changements de la réglementation.
Savez vous qu'avec Dastra, vous pouvez créer automatiquement une tache en envoyant le contenu de la tache pas email directement ?
2 - Sprint planning :
Cette étape consiste à définir les objectifs à atteindre pendant le sprint en cours, qui sont en lien avec les exigences du RGPD. L'équipe doit identifier les tâches à effectuer pour atteindre ces objectifs, en utilisant le backlog comme guide. Les tâches doivent être décomposées en tâches plus petites et estimées en temps pour faciliter la planification du sprint.
En pratique, il s'agit d'une réunion de toute l'équipe SCRUM qui peut durer une matinée. En général, elle est effectuée le lundi matin en début de sprint.
3 - Daily scrum :
Cette étape consiste en une réunion quotidienne de l'équipe pour discuter de l'avancement des tâches et des problèmes rencontrés. Les membres de l'équipe peuvent discuter de l'avancement des tâches liées à la conformité, des risques identifiés et des problèmes rencontrés pour pouvoir rapidement réagir et prendre les mesures nécessaires pour remédier à ces problèmes.
En pratique, cette réunion quotidienne permet de ne pas perdre le fil et de pouvoir compter sur les autres pour avancer dans ses tâches. Cette réunion doit être particulièrement courte (15 à 30 min max) pour se laisser le temps de produire.
4 - Sprint review :
Cette étape consiste en une réunion de l'équipe pour présenter les résultats obtenus pendant le sprint en cours. Pour se conformer au RGPD, l'équipe peut présenter les tâches effectuées pour se conformer à la réglementation, les risques identifiés et les processus de gestion des données mis en place. Cette étape permet à l'équipe de s'assurer que les tâches nécessaires à la conformité ont bien été effectuées et de s'assurer que les risques ont été correctement évalués et gérés.
En pratique, cela se traduit par une réunion de toute l'équipe et chacun des membres va présenter son travail. Cette réunion peut se faire le vendredi matin ou après midi avant le prochain sprint.
Cette revue peut s'effectuer à l'aide de graphiques d'avancement, de vélocité et de flux cumulatifs.
5 - Sprint retrospective :
Cette étape consiste en une réunion de l'équipe pour discuter de ce qui a bien fonctionné et de ce qui peut être amélioré pour les sprints suivants. Pour se conformer au RGPD, l'équipe peut discuter des processus de gestion des données mis en place, des risques identifiés et des problèmes rencontrés pour améliorer la conformité à la réglementation. Cette étape permet à l'équipe de s'assurer que les processus en place sont efficaces et que les risques sont gérés de manière adéquate.
Cette étape peut parfois être cumulée avec la sprint review ou séparée. L'objectif est de travailler constamment la méthode et d'avoir des sprints réguliers et efficaces. Ce temps peut être nécessaire au départ lors de sa mise en place mais à terme, il pourra s'effacer dans la sprint review.
Nettoyage
De temps à autre, il faut faire le ménage dans le backlog. Alors, on fait une séance de toilettage du backlog. En effet, de nombreuses taches sont souvent injectées dans le backlog sans qu'elles aboutissent à une réalité pratique. Il faut donc les supprimer ou les remanier.
En résumé, le SCRUM est une méthode efficace pour se conformer au RGPD car elle permet une communication régulière entre les membres de l'équipe, ce qui facilite l'identification et la résolution des problèmes liés à la conformité. Elle permet également une adaptation rapide aux changements et aux exigences en constante évolution du RGPD.
Les rôles des membres de l'équipe SCRUM
Voici les rôles des membres de l'équipe SCRUM :
Product Owner : Le Product Owner est responsable de la gestion du backlog et de la priorisation des tâches en fonction de la valeur business (entendre ici : conformité). Dans le contexte de la conformité au RGPD, le Product Owner peut être responsable de la définition des exigences liées à la conformité, de l'identification des risques liés à la protection des données et de la planification de la mise en œuvre de mesures de sécurité appropriées.
Scrum Master : Le Scrum Master est responsable de faciliter le processus SCRUM en veillant à ce que l'équipe suive les pratiques et les principes de SCRUM. Il agira en tant que référent sur la méthode.
L'équipe de développement : L'équipe de développement est responsable de la mise en œuvre des tâches identifiées dans le backlog. Dans le contexte de la conformité au RGPD, l'équipe de développement peut être responsable de la mise en œuvre de mesures de sécurité, de la documentation des politiques et des procédures de sécurité, de la formation du personnel et de l'identification des risques liés à la protection des données.
Chaque membre de l'équipe SCRUM est responsable de l'ensemble du processus de conformité au RGPD. En travaillant ensemble, ils peuvent s'assurer que les exigences de conformité sont respectées de manière efficace et efficiente, tout en veillant à ce que les processus de gestion des données soient conformes aux normes de sécurité et de protection des données.
Et le DPO ?
Le DPO (Data Protection Officer) a un rôle clé dans la conformité au RGPD.
Dans le contexte de la méthodologie SCRUM, le DPO peut être impliqué dans plusieurs aspects du processus. Tout d'abord, le DPO peut aider le Product Owner à définir les exigences liées à la conformité RGPD en fournissant des informations sur les exigences légales et réglementaires applicables. Le DPO peut également être impliqué dans la priorisation des tâches en fonction des risques liés à la protection des données.
En pratique, le DPO pourra aisément prendre le rôle de Product Owner pour prioriser les actions à réaliser. A ce titre, il assume complètement le rôle de "chef d'orchestre"
Le DPO peut également travailler en étroite collaboration avec l'équipe de développement pour s'assurer que les mesures de sécurité appropriées sont mises en place pour protéger les données à caractère personnel. Le DPO peut également aider à élaborer des politiques et des procédures de sécurité appropriées, fournir des orientations sur les exigences légales et réglementaires en matière de protection des données et former le personnel sur ces questions.
Envie de vous lancer dans la pratique ? Essayez Dastra gratuitement et commencez dès maintenant à programmer les premières tâches de conformité au RGPD avec la méthode SCRUM. Dastra est particulièrement adapté à la méthode SCRUM. Vous pouvez facilement créer :
- des itérations à volonté,
- naviguer dans les tâches de l'itération courante
- faire des statistiques pour vos sprint review avec les graphiques d'avancement
- attribuer des tâches aux personnes de l'équipe
- piloter et découper les tâches
Demandez nous une démo pour en savoir plus !