Le RGPD est entré en application mais les entreprises ont toujours des difficultés à le comprendre. En effet, bien que RGPD soit une question de protection des « données », sa mise en œuvre n’incombe pas qu’au DSI. Les données des employés sont concernées, ce qui implique une responsabilité du service RH.
Impliquer les RH dans la conformité au RGPD
Trop d’entreprises ne savent toujours pas si elles sont conformes ou non au RGPD. En effet, la conformité est un défi pour l’ensemble des départements de l’entreprise. Si les DSI sont le moteur de la mise en conformité, ils doivent travailler en étroite collaboration avec les RH pour s’assurer que les deux parties sont prêtes pour la nouvelle réglementation, et avec les collaborateurs pour assurer une transition en douceur vers le nouveau cadre. Les professionnels des ressources humaines qui n’ont pas encore commencé la transition vers le RGPD exposent leurs organisations à des amendes réglementaires.
Recueillir le consentement express des collaborateurs
Un changement dans la façon dont les RH traiteront le consentement des collaborateurs devra être mis en œuvre : plutôt que le petit paragraphe à la fin du contrat de travail, le consentement concernant l’utilisation des données des collaborateurs devra maintenant être explicite et indépendant. Les collaborateurs doivent être informés de la façon dont leur entreprise entend stocker, contrôler et gérer leurs données. Cela devra être détaillé dans un document distinct et les collaborateurs devront le signer. Sans cela, les organisations s’exposent à des sanctions sévères en cas de traitement illicite de données.
Rendre ce processus officiel présente d’autres avantages. Si la formalisation du processus prouve qu’une entreprise respecte le RGPD, celle-ci a aussi l’avantage de constituer en interne un outil de fidélisation et d’engagement du personnel. Les documents montrent aux collaborateurs qu’ils peuvent faire confiance à leur organisation et que leurs données personnelles sont traitées légalement et correctement.
Lors de la rédaction du contrat, les RH doivent travailler en étroite collaboration avec le service informatique. Ensemble, ils devront comprendre où et pourquoi les données des collaborateurs sont utilisées, et qui y accède. Par exemple, voyagent-t-elles dans un autre pays ? Qui les utilise ? En répondant à ces questions, les RH ont l’occasion de donner à leurs collaborateurs une image sincère et complète de la façon dont leurs données sont utilisées. Il est peu probable que les collaborateurs signent quelque chose qu’ils ne comprennent pas, et il incombe au service RH – avec l’aide de l’informatique – d’expliquer aux collaborateurs leurs droits qui découlent du RGPD de manière claire et accessible.
Le nécessaire dialogue entre les RH et collaborateurs
En vertu du RGPD, les collaborateurs auront le droit de consulter et de gérer leurs données. Cela comprend les demandes d’accès aux données, les droits de rectification des données et le droit à l’oubli. La mise en place d’un processus formalisé expliquant comment les données des collaborateurs sont utilisées diminue la probabilité d’une « inondation » de demandes venant des collaborateurs une fois que GDPR sera en vigueur. Toutefois, les RH devraient tout de même être prêtes et disposer des processus adéquats pour répondre à ces demandes. Le défi consistera à s’assurer que les bons systèmes et les bonnes politiques sont en place. Les RH doivent être organisées en prévision des nouveaux processus qu’elles devront gérer et du potentiel d’augmentation des demandes de données des collaborateurs.
Les organisations auront besoin de procédures et de systèmes bien pensés en place pour permettre aux équipes RH de traiter les demandes des collaborateurs en douceur et sans gaspiller trop de ressources. Cela impliquera à nouveau une collaboration avec les DSI – pour s’assurer que les bons systèmes sont en place – et la communication avec les collaborateurs afin de réduire le risque de demandes de données inutiles une fois que le nouveau règlement sera en vigueur.
Former les équipes pour assurer la conformité
Être conforme au RGPD n’est pas une mesure ponctuelle ; il s’agit d’un processus continu qui nécessitera des mises à jour pour s’assurer que tous les collaborateurs jouent leur rôle dans le respect de cette norme. Un programme de formation complet et continu aidera les organisations à atténuer les risques juridiques, financiers et de réputation associés à la non-conformité.
Un programme de formation structuré aide les collaborateurs à comprendre comment leurs données sont utilisées, ainsi que leurs responsabilités personnelles. Par exemple, s’ils sont amenés à traiter des données sensibles, ils devront s’assurer qu’ils respectent les règles relatives à leur traitement. La formation peut accroître la responsabilisation individuelle dans toute l’organisation, mais une session de formation ponctuelle ne suffira pas. Les entreprises devront mettre en place une stratégie de formation complète et continue pour faire face aux changements à long terme que le RGPD entraînera.
Le rôle des RH a constamment changé au cours des dernières années, s’éloignant du rôle administratif traditionnel du passé. Le RGPD transforme encore davantage le rôle des RH. Pour s’assurer d’être en conformité, les services RH doivent s’appuyer sur le dialogue interdépartemental vers lequel pousse le RGPD : travailler plus étroitement avec l’informatique, ouvrir le dialogue avec les collègues sur la protection des données et adopter les technologies appropriées. Grâce à cela et à une planification adéquate, les RH peuvent contribuer à garantir la conformité de leur organisation d’ici mai 2018 et pour le futur proche.
_____________
Steve Wainwright est Managing Director EMEA, SumTotal – une société Skillsoft