< Retour au sommaire

Serez-vous prêt(e) à temps pour le RGPD ?

Pour rappel, la date butoir d’entrée en vigueur du RGPD, le Règlement général sur la protection des données, c’est le 25 mai 2018. D’après un sondage mené par Acerta à trois mois de la prise d’effet du RGPD, à peine 2% des départements RH se disaient préparés et 48% y travaillaient. Mais les enjeux restent flous pour une majorité… Une contribution rédactionnelle de Michaël Zahlen, Senior Consultant chez Acerta.

Voilà plus de deux ans que le RGPD est annoncé. Pourtant, à trois mois de l’échéance, seul un département RH sur deux s’attelait à la mise en œuvre des mesures nécessaires pour se mettre en conformité avec la nouvelle législation relative à la protection de la vie privée.

D’après ce sondage mené auprès de 155 responsables RH, 18% savaient bel et bien quoi faire, mais pas encore par où commencer. Un sondé sur quatre (25%) n’avait pas idée de ce que l’on attend de lui et 7% étaient encore dans l’ignorance totale. Une forme de résistance s’exprimait dans la réponse à d’autres questions : « Ce n’est pas réaliste pour les petites entreprises » (11%) ou « Je comprends qu’en RH aussi il faille respecter la vie privée, mais le RGPD n’est pas le meilleur moyen pour ce faire » (47%). Les résultats montrent que les départements RH n’avaient pas encore une vision claire des implications du RGPD. « Il est vrai que la mise en conformité au RGPD relève du sur-mesure, concède Michaël Zahlen, Senior Consultant chez Acerta.

Beaucoup dépend de la taille de l’entreprise, de la maturité de sa politique RH ou de la façon dont sont gérés les flux d’informations relatives au personnel. Les RH sont conscients qu’ils recueillent, traitent et conservent des données à caractère personnel au sujet des collaborateurs, mais n’ont pas une idée précise de tous les traitements effectués. Une première étape passe donc par un inventaire non pas des données elles-mêmes, mais des types de données collectées et des traitements appliqués. Ce travail aboutit à établir un registre de traitement des données à caractère privé. »

Certaines données apparaissent évidentes, par exemple celles reprises dans les CV, les contrats de travail ou la paie. Mais ce n’est que la partie émergée de l’iceberg, note Michaël Zahlen, qui cite aussi, entre autres, les certificats médicaux, les contraventions reçues par l’intermédiaire de firmes de leasing, les photos de travailleurs utilisées pour les badges ou l’intranet, les données issues des évaluations, les rapports externes reçus dans le cadre d’un processus de réintégration après maladie de longue durée, les films d’entreprise où apparaissent des travailleurs, etc.

« Un deuxième point d’action consiste à élaborer une ‘policy’ informant les travailleurs du traitement réservé à leurs données et des droits qu’ils ont en la matière », ajoute-t-il. Il s’agira de régler l’épineuse question de la durée pendant laquelle le département RH peut conserver des données. « Cette durée n’a pas été explicitement réglementée. Les données peuvent être conservées pendant la durée où elles restent pertinentes pour la finalité pour laquelle elles ont été recueillies. Ce qui peut faire débat et est source d’incertitude. Il nous paraît être une bonne idée d’appliquer une norme pratique de, par exemple, dix ans. » Autre enjeu de taille : se familiariser avec les concepts prévus par la réglementation. Ainsi, la moitié des personnes sondées par Acerta disaient par exemple ignorer ce que sont le ‘droit à l’oubli’ (55%) et le ‘droit de rectification’ (50%) qu’ont les travailleurs.

Pour autant, Michaël Zahlen se veut rassurant. « La mise en conformité au RGPD n’est pas une tâche aussi insurmontable qu’il n’y paraît, en ce sens qu’elle constitue une obligation de moyens plus que de résultats. L’essentiel est de ’s’y mettre’ et d’élaborer un plan d’action auquel on peut revenir de temps en temps : c’est au quotidien qu’on pourra prendre la pleine mesure de toutes les données collectées et traitées. Il importe de développer un réflexe RGPD qui permettra au fil du temps de peaufiner et parfaire son approche. » Ce qui est certain, c’est que ne rien faire n’est pas une option. « Une amende est fixée pour un maximum de 20 millions d’euros et 4% du chiffre d’affaires de l’entreprise. Cela reste dans un premier temps théorique. Le vrai risque porte sur des actions pouvant émaner de travailleurs qui jugeraient que leurs droits ne sont pas respectés et sur la perte de clients ou sur atteinte à l’image en cas de non conformité de l’entreprise. »

Michaël Zahlen
Senior Consultant
Acerta

Sur le même sujet


< Retour au sommaire

Vous cherchez, vous trouvez!

HR Square | Revue, Infolettre, Réseau, Site web, Séminaires,...

Devenez membre maintenant!
Bénéficiez des avantages