RGPD et conformité : DRH, 5 conseils pour des collaborateurs pleinement investis

Le succès de la mise en place du processus de conformité relatif au RGPD au sein de votre entreprise dépend du niveau d’implication de vos collaborateurs à son sujet. En effet, ont-ils conscience de l’impact du règlement européen au sein de votre organisation ? Sont-ils suffisamment impliqués, responsabilisés et conscients des enjeux ? Comment s’assurer que vos collaborateurs soient pleinement investis dans le processus de conformité ?

63 % des incidents de sécurité sont le fait d’un collaborateur actif au sein de l’entreprise

Adopté en 2016 par le Parlement européen, le Règlement général pour la protection des données (RGPD) a poussé les entreprises à mener un chantier important en matière de conformité. Cependant, lors de sa mise en vigueur deux ans plus tard, le 25 mai 2018, près de 34 % des organisations n’étaient pas prêtes[1]. Et un an et demi après sa mise en œuvre, le résultat n’est toujours pas mieux : un tiers des entreprises en Europe avoue ne pas être conformes au RGPD[2].

Si cette période de transition a été marquée par une relative clémence des autorités de contrôle – à savoir la Commission nationale de l’informatique et des libertés (CNIL) pour la France –, le ton devrait désormais durcir. Les entreprises prises en flagrant délit de non-conformité encourent de lourdes sanctions pouvant atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Ces risques financiers connus, nul doute que la conformité s’avère bel et bien un enjeu crucial pour les entreprises. Depuis ces deux dernières années, ce chantier majeur n’a pas été sans conséquence pour les organisations. Elles ont dû adapter leur processus en matière de traitement de la donnée, mais également en matière de sécurisation. Les nouvelles technologies ont par ailleurs joué un rôle important en apportant des solutions pour mieux gérer, traiter et contrôler la Data.

Mais l’humain reste un personnage central de l’histoire. Notamment parce que 63 % des incidents de sécurité sont le fait d’un collaborateur actif au sein de l’entreprise[3]. Ce chiffre doit résonner au cœur des entités, afin qu’elles n’oublient pas d’embarquer chaque collaborateur dans cette injonction qu’est la protection des données personnelles. Parce que chaque collaborateur qui ne serait ni sensibilisé ni responsabilisé représenterait un risque pour l’entreprise. La sécurisation des données ne concerne pas uniquement le Data Protection Officer (DPO) et une poignée de responsables SI.

Alors, comment s’y prendre ? Comment s’assurer que tous les collaborateurs sont pleinement investis dans le processus de conformité ?

RGPD : les points clés pour embarquer vos collaborateurs

  1.   Développez une culture de la donnée RH

Il convient tout d’abord de s’assurer que tous les collaborateurs sont bien au fait de ce qu’est une donnée à caractère personnelle (identité, adresse postale, adresse email professionnelle, numéro de téléphone, numéro de sécurité sociale, photo…), ce que signifie le traitement de la donnée et qu’ils saisissent les enjeux qui entourent le RGPD (limitation du traitement, droit à l’oubli, droit de rectification…).

A ce titre, la maîtrise de la notion de gouvernance des données se révèle essentiel puisqu’il s’agit de mettre en place un cadre interne afin d’optimiser les données et permettre d’améliorer les performances de l’entreprise, tout en veillant à respecter les obligations légales.

  1. Responsabilisez vos collaborateurs au sujet de la protection des données RH

Si le joueur de football du PSG Keylor Navas ne s’est pas ému de la diffusion de son prétendu bulletin de paie[4] sur les réseaux sociaux, il faut s’attendre à ce que les collaborateurs d’une entreprise expriment leur mécontentement face à une telle défaillance.

Il convient donc de responsabiliser tous les acteurs de l’organisation afin qu’ils mesurent l’impact d’une fuite de données à l’échelle des collaborateurs, des prestataires, des clients, de l’entreprise.

  1. Formez vos équipes RH

La fonction RH est en première ligne et doit s’assurer que les professionnels RH qui manipulent au quotidien des données à caractère personnelle – au degré de sensibilité variable -, soient bien conscients de la valeur des informations traitées, des bénéfices à en tirer et des risques liés à une altération des données ainsi qu’à une cyberattaque.

La formation des équipes RH s’avère un incontournable, et ce, même si le RGPD est en vigueur depuis plusieurs mois. Il convient de s’assurer que les bonnes pratiques sont bel et bien acquises.

  1. Communiquez régulièrement autour du RGPD

Pendant la phase de mise en place, le RGPD a profité d’une large médiatisation auprès du grand public. Pour autant, l’entreprise a également contribué à rendre plus intelligible le règlement européen aux yeux, entre autres, de ses collaborateurs auprès desquels elle a dû recueillir les consentements pour l’utilisation de leurs données dans le cadre professionnel.

Cette vulgarisation et communication pour sensibiliser les acteurs de l’entreprises (collaborateurs, candidats…) doit se poursuivre pour installer ou maintenir un haut degré de confiance. Il est nécessaire d’expliquer quelles sont les données collectées, pourquoi elles le sont, quels traitements sont réalisés et par qui.

De plus, chaque collaborateur doit savoir qui contacter au sein de l’entreprise s’il identifie un risque. En effet, que se passe-t-il si son manager est indisponible ? Ou si le Délégué à la protection des données (DPO) s’avère absent ? Quel est le processus à suivre ?

  1. Permettez aux collaborateurs d’accéder à leurs données

Le RGPD donne le droit aux collaborateurs d’accéder à leurs données, mais aussi de les rectifier ou même de les supprimer. En leur permettant d’exercer simplement leur droit, l’entreprise fait preuve de transparence et améliore la relation employeur-collaborateur en la basant sur la confiance.

Ce principe vaut également pour les candidats.

Parce qu’elles sont au cœur de la création de valeur d’une entreprise, les données apparaissent comme le nouvel or de l’économie. S’assurer que chaque collaborateur a clairement conscience des enjeux associés se révèle un impondérable. Alors, il convient de bien mesurer quelles sont les données à collecter pour injecter du sens, d’identifier les risques et de mettre en place les processus de sécurité adéquats afin d’injecter de la confiance et de garder comme fil conducteur les droits des personnes pour injecter de la transparence.

[1] Communiqué de presse, “Un tiers des entreprises françaises ne sont pas prêtes à l’entrêe en vigueur du RGPD”, QBE France, 2018
[2] Enquête, “30 % des entreprises européennes ne sont toujours pas conformes au RGPD”, European Business Awards, 2019
[3] Enquête, “Les 5 tendances qui impactent les entreprises en matière de cybersécurité”, Deloitte, 2018
[4] Article, “PSG : Navas ironise sur sa fiche de paie qui circulerait sur les réseaux sociaux”, BFM TV avec RMC Sport

RGPD/ GDPR : le dossier pour tout savoir