02 Mai RH : conseils à mettre en place pour vous préparer au RGPD
Le règlement européen sur la protection des données entre en vigueur le 25 mai 2018. Il impose la mise en place de procédures de sécurisation des données personnelles des employés et des clients, sous peine de lourdes sanctions. La conduite du changement RH, en première ligne de ces évolutions, nécessite de bien se préparer.
- Le RGPD qu’est ce que c’est ?
- RGPD, qui est concerné ?
- RGPD : quel impact pour les RH ?
- RGPD : comment bien se préparer en 6 étapes quand on est RH ?
Le RGPD qu’est-ce que c’est ?
En 2017, deux malwares ont particulièrement défrayé la chronique. WannaCry et Petya ont exploité les failles informatiques de nombreuses entreprises, mettant à mal la protection des données de milliers d’utilisateurs et de collaborateurs.
À l’aube des nouvelles règles européennes sur la protection des données (RGPD), le besoin de sécurité ne s’en retrouve que renforcé.
La confidentialité des données personnelles des salariés et des clients constitue le fondement du RGPD. Le règlement pose un certain nombre de grands principes, et le rôle des ressources humaines consistera à les faire respecter le plus sereinement possible.
La finalité des informations collectées impose de justifier et de déterminer au préalable l’usage des données personnelles pour l’entreprise. Ces données devront donc être pertinentes au regard des objectifs annoncés.
La conservation de ces données devra être limitée dans le temps et faire l’objet d’un droit à l’oubli, à la demande du salarié. Celui-ci pourra en outre réclamer un droit de regard sur les données collectées le concernant.
Enfin, l’entreprise devra assurer la mise en place de mesures de sécurité efficaces pour garantir la protection de ses data.
{{cta(‘b5d3ef20-c017-4c48-a0e6-7b251a7b506d’)}}
RGPD, qui est concerné ?
Le RGPD concerne toutes les données collectées sur le territoire de l’Union européenne, mais aussi celles qui sont amenées à y transiter.
L’ensemble des entreprises et des résidents de l’espace économique européen est donc concerné. Les fournisseurs tiers qui traitent les données des salariés pour leurs clients entrent également dans le champ d’application.
Le RGPD concerne toutes les informations relatives à la personne physique, ou à celles qui permettent son identification. C’est le cas par exemple des cookies informatiques, des adresses IP, etc.
Tous les aspects de la vie de l’individu sont concernés, en particulier ceux concernant sa vie personnelle : orientation sexuelle, choix politiques, santé ou vie familiale.
Le règlement de protection des données constitue donc un vaste chantier pour les RH, non seulement pour sa mise en place, mais aussi pour sa conduite dans le temps.
En cas de non-respect, l’Union européenne, par l’intermédiaire de la CNIL en France, prévoit de lourdes sanctions : entre 10 et 20 millions d’euros, ou 2 à 4 % du chiffre d’affaires.
La solution la plus lourde sera retenue. Pas de panique cependant, les sanctions ne tomberont pas dès le 26 mai et feront l’objet de plusieurs rappels préalables.
Pourquoi et comment les ressources humaines sont impactés par la RGPD ?
RGPD : quel impact pour les RH ?
Le plan de mise en conformité RGPD aura des conséquences directes pour les RH dans leur travail de collecte, de traitement et de stockage des données des collaborateurs.
La sécurisation des données RH devra désormais faire l’objet d’une preuve renforcée. Pour cela, les RH devront procéder à l’inventaire et à la cartographie des données personnelles collectées.
Une telle évolution s’apparente de prime abord comme une importante contrainte. Mais il peut aussi s’agir d’une opportunité de repenser et de rationaliser ses processus RH. Notamment en veillant à bien attribuer les droits d’accès au sein de votre départemenrutions de consultation, copies ou modifications).
Autre source d’opportunités du RGPD pour les RH, l’information et la communication accrue avec les collaborateurs et les candidats. Elle passera par le recrutement de nouveaux profils, en particulier le DPO (Data privacy officer), spécialisé dans la protection des données.
Enfin, côté SIRH, les RH devront se doter de logiciels « privacy by design » adaptés au RGPD pour limiter par défaut les risques de manquement au règlement.
De la contrainte naissent de nouvelles opportunités
La préparation du RGPD implique de lourdes responsabilités pour les RH, mais il s’agit aussi d’un passage bénéfique vers des pratiques plus professionnelles.
En effet, l’adoption de processus plus sécurisés et de logiciels conçus en conséquence minimise les risques d’attaques informatiques. Posséder moins d’informations relève de la même logique. En cas d’intrusion avérée dans vos systèmes, les dommages n’en seront que limités.
Autre avantage, la digitalisation croissante des ressources humaines avec des outils SIRH de plus en plus performants. La refonte des processus de gestion des données permet une rationalisation croissante du rôle des ressources humaines.
Enfin, toutes ces évolutions bénéfiques concourent à l’amélioration de votre marque employeur auprès de vos collaborateurs et candidats. Le RGPD offre l’opportunité aux RH de donner une image positive de leur entreprise en renforçant la culture d’entreprise.
RGPD : comment bien se préparer en 6 étapes quand on est RH ?
Comment se préparer au RGPD pour les RH ?
Pour les RH, la préparation au passage RGPD nécessite la mise en place d’un plan de bataille précis. N’attendez pas le dernier moment :
- Vous devez dans un premier temps désigner un pilote en interne ou en externe par le biais d’un prestataire externe pour conduire le changement. Le DPO aura pour mission de coordonner les actions de mise en conformité.
- Il faudra ensuite procéder à la cartographie de vos traitements de données personnelles via la création d’un RAT : le registre des activités de traitement. Il comprend les objectifs de la collecte de données, les acteurs (notamment les sous-traitants) et les flux de données échangées.
- Agir en fonction des priorités. La mise en place progressive du RGPD nécessite de vous concentrer en premier lieu sur les données les plus sensibles de vos collaborateurs et sur leur sécurisation.
- Gérer ses risques. Vous devrez effectuer des analyses d’impact (PIA). Celles-ci sont obligatoires si des données à haut risque sont manipulées, telles que les évaluations de vos collaborateurs ou des données médicales. Tout croisement de données, en particulier à grande échelle, doit être soigneusement évalué.
- Penser ses processus en interne afin de respecter les notions de Privacy by design. Celles-ci ne seront que plus simples à mettre en œuvre avec des processus standardisés pour respecter le règlement de protection des données.
- Restez à jour. Il y a fort à parier que le RGPD fera l’objet constant de jurisprudence et d’amendements. La mise en conformité de 2018 ne constituera donc qu’un début, en particulier au regard de l’évolution constante des technologies et des modes de travail de plus en plus digitalisés. À vous de vous tenir informé de l’actualité du vaste chantier RGPD.
Les RH l’ont bien compris, ils seront en première ligne pour conduire les changements du RGPD, et ils savent que c’est une opportunité de rationalisation des processus internes et de sécurité pour eux.
La protection et la sécurisation des données des collaborateurs deviennent un enjeu majeur pour eux.
La mise en place de ce règlement nécessitera la nomination d’un DPO et d’un processus interne « privacy by design ».
{{cta(‘a69dcded-edf4-4694-8677-ed4049af1d58’)}}
No Comments