Il reste à peine 9 mois aux entreprises françaises pour se mettre en conformité avec le nouveau règlement communautaire relatif à la protection des données individuelles (RGPD). Ces nouvelles dispositions, applicables à partir du 25 mai vont plus loin que ce que la CNIL nous imposait jusqu’à présent. La gouvernance et les pratiques de toutes les entreprises sont impactées par cette réglementation. L’objectif est d’harmoniser les législations européennes et de renforcer la protection et la gestion des données personnelles. Un Délégué à la protection des données (DPD) ou Data Protection Officer (DPO) contrôlera la conformité. Il se charge de veiller sur tout qui touche à la gestion des données à caractère personnel. Par exemple, la conception d’outils, traitements informatisés, etc.
Si vous ne voulez ne pas faire partie des 50 % d’entreprises qui ne seront pas pleinement conformes fin 2018 comme le prévoit une récente enquête du Gartner, il est grand temps d’engager les travaux.
La gestion des données personnelles : les enjeux RH
Les points clés sur lesquels les Directions des Ressources Humaines vont devoir travailler et s’adapter :
Assurer la protection des données dès la conception (privacy by design) et leur sécurité en permanence (privacy by default). Ce principe de base va devoir être en permanence au cœur de la vie et de la gestion des données personnelles. Les entreprises doivent à chaque étape décrire précisément les conditions de stockage et de traitement des données. Qu’il s’agisse des phases amont d’analyse en vue de la conception et de la mise en œuvre d’un outil informatique, ou des évolutions tout au long de sa vie. Attention, plus question, par exemple, de prévoir un stockage massif dans un entrepôt de données maison. Il faudra définir précisément en amont tous les traitements possibles et leurs finalités.
Un registre actualisé des traitements sera obligatoire. Compte tenu de la quantité de traitements effectués, il est aisé d’imaginer l’étendue de la tâche. Les multiples redondances de données ou le nombre de formulaires sensibles dans une entreprise rendent le challenge complexe. En conséquence, un délégué « à la protection des données » aura la responsabilité de coordonner la mise en place de cette nouvelle gouvernance.
S’assurer d’un accord explicite et formel de tous, salariés comme clients pour saisir, stocker et détenir des données individuelles. L’entreprise devra pouvoir fournir la preuve du consentement à utiliser ces données.
Le responsable de traitement aura l’obligation de mettre en place les conditions de portabilité des données individuelles. Chaque utilisateur devra disposer de la faculté d’exporter ses propres données sous un format standard couramment utilisé et lisible. Compte tenu des enjeux, les équipes RH s’appuient naturellement sur des solutions logicielles de gestion de la RGPD. Ces solutions permettent de gérer et veiller sur leur conformité à la RGPD de manière globale et centrale.
Comment protéger et gérer des données personnelles ?
Les intéressés devront être informés des données personnelles gérées et connaître les modalités de retrait de ces dernières. En cas d’exercice de ce droit à l’oubli et à la simple rectification, les entreprises disposeront d’un délai limité pour agir. Il faudra les retirer ou les modifier dans tous les systèmes. Les intéressés pourront exiger une traçabilité et la preuve des opérations relatives à ces suppressions. Le législateur, pour éviter toute dérive, a cependant indiqué que cette demande se devait d’être « légitime ».
Un autre point clé du règlement Européen RGPD concerne la sécurisation des données. Les entreprises auront l’obligation de veiller à la sécurité des données ainsi que de formaliser toutes les protections mises en œuvre. Les données pourront être cryptées ou chiffrées dans les fichiers et être stockées au sein de datacenters sécurisés. Les DSI veilleront à ce que les données soit plutôt stockées au sein de l’UE. Elles devaient également être administrées par des sous-traitants garantissant le respect de toutes ces obligations.
A noter que les régulateurs auront la faculté d’infliger des sanctions financières très dissuasives en cas de non-respect des exigences édictées dans ce nouveau règlement Européen.
Au final, un chantier de grande ampleur pour toutes les entreprises. Elles vont devoir s’appuyer sur des partenaires qui auront les capacités de leur apporter l’expertise et les conseils appropriés.