[Tribune] RGPD et RH : 3 étapes clés pour se mettre en conformité
Le 25 mai 2018 entrera en vigueur le RGPD. Jusqu'à présent, les entreprises se sont surtout efforcées de protéger les données des clients mais prennent de plus en plus conscience que les mêmes règles s'appliqueront également aux données relatives à leurs collaborateurs.
Dans six mois, précisément le 25 mai 2018, entrera en vigueur le RGPD (Règlement Général de la protection des données) nouveau règlement visant à assurer la protection des citoyens européens lorsque leurs données personnelles font l'objet de traitements automatisés ou non.
Nous sommes à plus de la moitié de la période de transition initiée depuis que le règlement a été approuvé par le Parlement européen, et bien que sa mise en application peut sembler complexe, les entreprises doivent se préparer dès maintenant ou, non seulement, courir le risque d'assumer de lourdes amendes lors de son entrée en vigueur, mais surtout ne pas tirer les bénéficies issues d'une meilleure gestion de données et ne pas pouvoir contribuer à leur image de marque.
Jusqu'à présent, les entreprises se sont surtout efforcées de protéger les données des clients mais prennent de plus en plus conscience que les mêmes règles s'appliqueront également aux données relatives à leurs collaborateurs, ce qui inclut les employés et les potentiels candidats.
Quel impact pour les RH ?
Au cours du processus de recrutement, les entreprises sont autorisées à collecter des données personnelles des candidats, mais uniquement celles considérées comme nécessaires. Si le candidat n'est pas recruté, ces informations doivent être supprimées. De la même manière, si un employé quitte l'entreprise, ses données personnelles doivent être effacées ou anonymisés.
Pour les entreprises traitant des milliers de données, la mise en conformité réclame une préparation méticuleuse. Il n'est jamais trop tard pour démarrer et je vous recommande une démarche en trois étapes.
Étape 1 : "Privacy by design"
Le concept de " Privacy by design " (littéralement : protection des données de la conception, article 25) vise à inclure la protection des données dès le début de la conception d'un système ou d'un processus, en tenant compte de la règlementation, plutôt que d'intégrer plus tard un correctif.
Mon conseil est de démarrer avec les données plutôt qu'avec le processus, et de documenter la justification de ces données. Les données collectées ne seront pas nécessairement les mêmes selon les pays. Il est donc essentiel d'appréhender les aspects culturels comme parties intégrantes de ce processus. Par exemple, en Allemagne, déclarer sa religion est obligatoire car les membres d'une église sont tenus par la Loi d'acquitter une taxe pour la financer. Lorsqu'un collaborateur indique qu'il appartient à une communauté religieuse bénéficiant de cette taxe, son employeur doit la prélever sur son salaire.
Ensuite, analysez les traitements associés aux données dont vous avez réellement besoin et intégrez-y les réquisits de protection de la vie privée et les droits de l'utilisateur.
Une cartographie claire de vos données vous facilitera le travail. Il est plus efficace de concevoir et développer des processus autour des données dont vous avez besoin, que d'adapter au forceps d'anciens processus afin de respecter la nouvelle réglementation. C'est l'occasion rêvée de nettoyer vos données ! En bonus, vous assurerez la conformité avec le principe de minimisation des données (article 5.1.c) .
Étape 2 : réaliser un audit de ses processus et de ses données
Se mettre en conformité peut réclamer beaucoup de travail. Alors, comment hiérarchiser vos priorités ?
Effectuez un audit des processus et des données que vous collectez, ainsi que du traitement de ces données, par exemple sous la forme de un analyse d'impact (article 35) Réalisez une analyse des écarts et identifiez là où se situent les plus grands risques. Par exemple, si l'entreprise était victime d'un piratage, quelles données vous exposeraient aux pires conséquences ? Les contenus de formation? Les données sur les rémunérations ? Commencez alors par ceux-là. En outre, listez les données pouvant être collectées automatiquement : vous êtes responsable des actions résultant d'un processus automatisé au même titre que d'un processus manuel.
Un audit vous aidera à identifier les points faibles et les zones de risque. Mais le travail ne s'arrête pas là : il est également très important de mener régulièrement ces audits afin de s'assurer de la qualité (et de la conformité) des méthodes de traitement et de les adapter à d'éventuels changements de la réglementation.
Étape 3 : mettre en place le principe de responsabilité
La troisième étape consiste à boucler la boucle. Une fois que les données sont nettoyées et les processus révisés et adaptés, vous devez documenter votre mise en conformité. On appelle ceci le principe de responsabilité (article 5.2) . Il est essentiellement matérialisé à la fois par une documentation dédiée aux données (dans quelle mesure elles se conforment au principe de minimisation) et une documentation dédiée aux processus (comment les exigences de la loi sont implémentés, par exemple la sécurité, ou comment permettre aux utilisateurs d'exercer leurs droits).
Étape 3 et demi : qui prend en charge tout cela ?
De nombreuses entreprises recrutent des responsables de la protection des données, qui sont chargés de collaborer étroitement avec tous les services. Mais nous voyons apparaître un nouveau rôle dans les services RH. Ces derniers ont tout intérêt à disposer d'un spécialiste de la protection des données en interne, travaillant au quotidien avec le DPO (délégué à la protection des données personnelles) pour garantir la conformité. Le respect de la vie privée réclame des connaissances juridiques, techniques et métiers et un expert de ce type apporterait une maîtrise des réglementations locales et des processus RH de l'entreprise.
Le RGDP n'est pas une réglementation simple. Il est donc essentiel que les RH se préparent dès aujourd'hui si elles n'ont pas encore démarré. Elles devront pour cela repenser certains processus et revoir les modes de traitement et de stockage des données personnelles. Même en gardant bien à l'esprit ces trois étapes, il peut paraître vertigineux de se lancer. Mais les efforts ne seront pas vains et l'entreprise bénéficiera de données mieux qualifiées, de processus plus efficaces, d'une exposition réduite aux risques d'amende ou de pénalité et au final d'une bien meilleure image de marque.
Sur le même thème
Voir tous les articles Réglementation