< Retour au sommaire

Quels sont les 6 conseils clés pour aborder sereinement le RGPD ?

Le Règlement général sur la protection des données (RGPD) réunit en un texte les différentes lois des 28 États membres de l’UE. Son objectif : accroître les droits de chaque individu sur ses données personnelles. Éclairage et conseils aux équipes RH. Une contribution de Joël Bentolila, Chief Technology Officer chez Talentsoft.

1. Assimilez le nouveau vocabulaire

Le RGPD, composé de 99 articles et 173 considérants, remplacera dès le 25 mai 2018, la précédente directive composée de 34 articles et 72 considérants. « Il y a renversement complet par rapport à celle-ci dont le langage était clair et précis, note Joël Bentolila, co-fondateur de Talentsoft. Le nouveau texte traite de ‘légalité, équité et transparence’ dans le traitement des données personnelles, de ‘mesures appropriées’ à prendre en termes de sécurité, des ‘intérêts légitimes’ du contrôleur, etc. Les parties prenantes sont classifiés selon des termes spécifiques : le ‘contrôleur’ est la société utilisatrice finale, le ‘processeur’ est le fournisseur SaaS et le ‘sujet’ peut être un citoyen, un salarié ou un candidat. Il faudra du temps pour bien assimiler ce nouveau vocabulaire et passer outre une certaine incertitude juridique. »

2. Clarifiez la notion de ‘consentement’

« Une question que se posent les RH est de savoir s’il faut demander un consentement explicite aux collaborateurs pour collecter leurs données personnelles. La réponse est négative : l’employeur a de bonnes raisons de les collecter. Il lui faut cependant veiller à minimiser cette collecte à celles qui sont adéquates, pertinentes et nécessaires. 

Par contre, il s’agira d’expliquer aux travailleurs ce qui est fait des données personnelles collectées. Il en va autrement pour les candidats — plus encore les candidats potentiels — qui, eux, ne sont pas liés par une relation hiérarchique avec l’entreprise. Dans ce cas, une demande de consentement explicite sera requise. »

3. Documentez vos pratiques

« La question de la responsabilité est un enjeu clé, pointe Joël Bentolila. Avec le RGPD, l’employeur devra être en mesure de démontrer sa conformité à tous les principes du règlement via une documentation appropriée. Dans ses relations avec des prestataires de services RH, nous conseillons de travailler avec des partenaires ayant obtenu la certification ISO 27001 qui inclut la pratique consistant à documenter ce que l’on fait et à agir en fonction de ce qui est documenté. Le jour où survient un audit, il sera alors plus facile de montrer la bonne application des principes du RGPD. »

4. Constituez une équipe dédiée

Où que vous en soyez dans vos préparatifs à l’égard du RGPD, ne laissez pas ce travail uniquement à un Data Protection Officer ou à un directeur IT ou Legal, mais constituez une équipe projet multidisciplinaire, indique-t-il. « La question de la protection des données est l’affaire de tous dans l’entreprise. Les RH doivent être impliqués car il va leur falloir adapter la façon dont ils recueillent, stockent et utilisent les données des collaborateurs et les préparer à prouver leur conformité avec la règlementation. Plus largement, les collaborateurs eux-mêmes devront être responsabilisés : qui n’a jamais vu un collègue noter son mot de passe sur un post-it à côté de son clavier ou emporter à domicile un fichier avec les données des membres de son équipe sur une clé USB ! Il y a beaucoup de négligences qu’il faudra rapidement corriger. »

5. Établissez une feuille de route

Les premières missions de l’équipe projet doivent être d’effectuer un audit des données et une analyse des risques, de déployer un programme interne d’habilitation RGPD et définir une feuille de route, explique Joël Bentolila. « Cette feuille de route doit aider à enclencher le processus et à identifier les lacunes dans vos systèmes. Elle permet de gérer les risques et de lancer les actions, tout en documentant la conformité au RGPD. »

6. Regardez au-delà du 25 mai !

Le RGPD sera pleinement applicable dès cette date. Le co-fondateur de Talentsoft se veut toutefois rassurant : « Les autorités vont d’abord faire de la pédagogie, et leurs premières cibles seront probablement les entreprises qui détiennent directement des données personnelles de citoyens individuels. La mise en conformité de votre entreprise est un travail progressif : si une donnée collectée est inutile, supprimez-la. Si une donnée collectée est utile, il faut la protéger. Ce travail ne finit jamais : au fil du processus, vous identifierez des risques plus complexes et des façons de les gérer pour augmenter la protection et la sécurité. C’est aussi la philosophie de la démarche ISO 27001. »

Joël Bentolila
Chief Technology Officer
Talentsoft

Sur le même sujet


< Retour au sommaire

Vous cherchez, vous trouvez!

HR Square | Revue, Infolettre, Réseau, Site web, Séminaires,...

Devenez membre maintenant!
Bénéficiez des avantages