par Hassan Habzi, consultant ConvictionsRH
RGPD. Quatre lettres qui secouent les entreprises petites ou grandes, au moins depuis le 25 mai 2018, date d’entrée en vigueur du règlement général sur la protection des données : le cadre européen pour le traitement et la circulation des données à caractère personnel.
En substance et en abrégé, le RGPD vient renforcer les droits des utilisateurs ainsi que les obligations des organisations et de leurs sous-traitants concernant le traitement de données personnelles. S’inscrivant en continuité de la Loi Informatique et Libertés, cette nouvelle mouture du règlement vient muscler le pouvoir de sanctions pour toute entreprise qui serait prise en défaut. L’amende maximale, applicable en cas d’une infraction particulièrement criante, s’élève jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’organisme fautif.
Si la CNIL (Commission nationale de l’informatique et des libertés) se montre encore clémente envers les entreprises aujourd’hui, consciente qu’un temps d’adaptation est nécessaire, cela risque de changer dans un futur proche. Mieux vaut donc sérieusement se pencher sur la question. Car au-delà du risque financier que représente une infraction, c’est aussi la réputation et la responsabilité de l’entreprise qui sont en jeu.
Bienvenue dans l’ère de la data
Le RPGD touche à ce qui est central dans tous les processus de digitalisation désormais incontournables : la data. Les données que vise à protéger le RGPD sont indispensables aux entreprises pour proposer leurs services, leurs produits, mais aussi pour administrer et organiser leurs relations à leurs employés, futurs employés ou sous-traitants. En cela, elles sont au cœur de la transformation digitale des entreprises. Du CV à la lettre de licenciement en passant par le justificatif médical et l’évaluation annuelle – la conformité au RGPD revient à mettre à plat tout le fonctionnement d’une structure dans son rapport aux différentes parties prenantes.
Au coeur du débat : la notion de consentement au traitement des données
L’impact sur les RH des entreprises est tout particulier. Ce sont elles qui doivent systématiquement s’assurer du précieux consentement lors de la manipulation des données. Mais la notion de consentement est toute relative dans le cadre de l’entreprise. Le recueil du consentement n’est pas nécessaire lorsque le traitement de la donnée est indispensable pour l’exécution d’un contrat ou pour respecter une obligation légale : si un employé veut être payé, il n’a d’autre choix que de communiquer son RIB ! Il y a donc un arbitrage à faire par rapport à la nécessité de demander le consentement, selon que l’on se place dans le cadre contractuel ou dans le cadre d’un processus de recrutement non régi par un contrat. Pendant cette phase de clarification, l’information des collaborateurs au sujet de leurs droits et la communication sur les pratiques d’utilisation des données dans le cadre du travail est indispensable afin de s’assurer que le RGPD soit respecté.
Une occasion pour passer en revue les liens contractuels d’une entreprise
Le souci de conformité au RGPD concerne non seulement le lien entre l’entreprise et ses employés, mais aussi le lien entre l’entreprise et ses sous-traitants. La responsabilité est partagée, et l’entreprise n’aura plus à affronter seule les différentes sanctions. Il est donc primordial pour toutes les entreprises de s’assurer que leurs sous-traitants respectent bien leurs obligations par rapport à la réglementation. Le nombre de contrats à éplucher peut vite devenir très important, mais c’est un travail essentiel, qui permet de repartir sur des bonnes bases à tous les niveaux de la collaboration.
Aujourd’hui, nous ne sommes pas tous égaux face au chantier RGPD
Le chantier de la mise en conformité au RGPD est aujourd’hui en cours dans plus ou moins toutes les entreprises, mais rares sont celles qui peuvent déclarer cocher toutes les cases. Malgré un gros travail pédagogique de la part de la CNIL, la majorité des organisation a du mal à avoir une vision claire des mesures concrètes à prendre afin d’atteindre le niveau de conformité requis.
Il est en effet important d’être lucide et réaliste, de savoir mesurer l’écart qui reste à combler et de prioriser les actions en fonction. Qui est sur le front : est-ce principalement le département légal de l’entreprise ? Le technique et le légal conjointement ? Qui gère les potentielles situations de crises ? Et comment bien recruter son délégué à la protection des données personnelles, poste désormais obligatoire ? Autant de questions à anticiper.
Bien-sûr, les grandes structures travaillent sur le sujet depuis 2 ou 3 ans. Mais le défi reste entier pour bon nombre de PME. Elles n’ont souvent pas de visibilité globale, pas de ressources en interne ni de gens à temps plein. C’est dans ces moments de crispation que se révèle bien souvent l’importance de la culture d’entreprise et d’une bonne gestion administrative de base. Celles qui n’ont pas attendu le RGPD pour être rigoureuses et respectueuses dans la gestion des donnés RH ont davantage de chance de s’en sortir haut la main. Les plus visionnaires saisiront le RGPD comme une opportunité de revoir la gouvernance des données, de valider l’optimisation de leurs processus, d’adapter leur SIRH et de l’aligner avec les objectifs stratégiques.
À la clé pour toutes les entreprises ? La satisfaction de pouvoir communiquer sur cette conformité, une conformité qui est avant tout la preuve d’une transition digitale réussie.
Des questions concernant le RGPD et les mesures à prendre pour y être conforme ? ConvictionsRH vous accompagne dans la réalisation d’un audit, dans la cartographie de vos données, dans votre processus SIRH et plus largement dans votre conduite du changement.
