Tous les métiers de l’entreprise sont concernés par le RGPD, tout particulièrement les Ressources Humaines qui manipulent nombre de données concernées par la future réglementation. Et pourtant, près d’un DRH sur deux (44 %) ne sait pas en quoi consiste le Règlement Général sur la Protection des Données indique une enquête réalisée par la société SDWorx. Et plus de 6 entreprises sur 10 prévoient des embauches dans le cadre de la RGPD.
Uber : « On peut soutenir qu’il est moralement incorrect et inacceptable qu’une organisation, en particulier une organisation dont les services sont aussi utilisés que le sont ceux d’Uber, retarde non seulement le signalement d’une violation de données, mais en plus tente de le dissimuler ! » considère Simon Townsend, Chief Technologist EMEA chez Ivanti.
Dès le 25 mai prochain, le règlement général sur la protection des données (RGPD) forcera les organisations qui traitent les données de citoyens de l’UE à signaler toute infraction dans les 72 heures sous peine d’être condamnées à une amende pouvant atteindre 20 millions d’euros ou 4% de leur chiffre d’affaires annuel (le chiffre le plus élevé des deux). Étant donné que les revenus d’Uber s’élevaient à 6,5 milliards de dollars l’an dernier, la société aurait risqué d’être condamnée à payer une amende de 260 millions de dollars.
Il ne semble pas normal qu’Uber, une entreprise communément admise comme étant La société de transformation numérique, ait apparemment oublié les principes de base de l’informatique et qu’elle n’ait pas réussi à assurer une bonne gouvernance dans le département R&D qui utilisait des outils de cloud.
L’enquête du prestataire de services RH SD Worx révèle que parmi 1 800 professionnels de la paie et des RH dans 9 pays européens, 44 % ne savent pas en quoi consiste le Règlement Général sur la Protection des Données (RGPD). Cependant, parmi les 56 % qui savent en quoi consiste le RGPD, 81 % estiment être préparés à appliquer ce règlement au sein de leur secteur à partir de mai 2018, sa date de mise en œuvre.
GDPR à six mois de la mise en œuvre
Le Règlement Général sur la Protection des Données est une nouvelle législation européenne en matière de protection des données, qui renforce et unifie la protection des données pour les individus. Ce règlement est entré en vigueur en mai 2016, mais les entreprises ont deux ans pour se conformer au règlement. À partir de mai 2018, les entreprises seront civilement responsables et le non-respect du règlement peut impliquer des amendes élevées, allant jusqu’à 20 millions d’euros. En France, 85, 7 % des personnes interrogées sont confiants dans la préparation du règlement en vigueur de leur service RH pour mai 2018.
Sur ces 56 % des professionnels du payroll et des RH qui connaissent le RGPD, la majorité fait appel à d’autres départements ou à des prestataires de services externes afin d’être prête en mois de mai 2018, quand le RGPD entrera en vigueur. 84 % des personnes interrogées ont révélé être aidés par d’autres départements de leur organisation, tandis que 73 % pensent qu’une externalisation des RH et de la paie faciliterait la mise en application du RGPD.
Risque pour le secteur des RH
Parmi les personnes interrogées européennes qui connaissent le RGPD, 55 % estiment que le RGPD pose un risque pour le secteur des RH et les oblige à mettre en place diverses solutions. 68 % des répondants se renseignent sur le sujet, revoient et mettent à jour toutes les politiques et procédures existantes relatives à la protection des données, tandis que 49 % évaluent le besoin de changement par rapport aux relations actuelles avec leurs fournisseurs (notamment avec les fournisseurs de données).
Bien que le secteur des RH semble divisé, les bénéfices sont évidents pour ceux qui connaissent le RGPD. Parmi les personnes qui sont interrogées sur l’apport positif que pourrait avoir le RGPD au sein du secteur des RH et de la paie, l’amélioration de la sécurité des données devrait constituer un bénéfice important.
Plus de 6 entreprises sur 10 projettent de recruter dans le cadre du RGPD
Afin d’assurer la bonne mise en œuvre et le suivi du RGPD, près de 7 entreprises sur 10 (66 %) cherchent à recruter de nouveaux profils, indique le cabinet de recrutement spécialisé Robert Half. A partir du 25 mai 2018, toutes les entreprises devront compter un délégué à la protection des données personnelles (DPO). Le sondage réalisé par Robert Half révèle que 35 % pense que le RGPD nécessite le recrutement de gestionnaire de projet et 19 % considère que l’embauche d’un DPO sera une obligation.
Alors que ce nouveau métier de CIL (Correspondant Informatique et Liberté) spécialiste RGPD (futur DPO) est rare, et qu’il impose à la fois la confiance de la direction et la capacité à discuter à tous les niveaux de services, notre panel a consigné les compétences techniques et soft nécessaires pour réussir la mise en œuvre de cette nouvelle réglementation.
Les compétences nécessaires pour l’application à long terme du RGPD ?
Savoir-faire
- Capacités d’analyse : 52 %
- Respect de la règlementation/mise en conformité : 45%
- Compétences en gestion de projet : 35%
- IT/cybersécurité : 20%
- Sens des affaires : 20%
Savoir-être :
- Réflexion stratégique : 37%
- Capacités de communication : 36%
- Esprit pratique/prise d’initiative : 35%
- Créativité : 26%
- Sens du détail : 21%
RGPD : les clubs utilisateurs francophones de progiciels se mobilisent
Dans la perspective du Règlement Général sur la Protection des Données (RGPD), nouvelle règlementation européenne qui entrera en vigueur en mai 2018, les cinq principaux clubs utilisateurs francophones de progiciels s’unissent pour la première fois et constituent un groupe de travail commun.
Le DynsClub (utilisateurs Microsoft Dynamics), les clubs utilisateurs des solutions Oracle (AUFO, Groupe Francophone des Utilisateurs JD Edwards, et Club des Utilisateurs PeopleSoft), et l’USF (utilisateurs SAP), ont décidé, pour la première fois, d’unir leurs efforts pour travailler ensemble sur un premier sujet majeur partagé par tous : le RGPD.
Ils souhaitent ainsi pouvoir identifier ensemble les engagements à demander aux éditeurs de progiciels, aux intégrateurs et aux fournisseurs de solutions SaaS, pour permettre aux clients de se conformer au RGPD, ainsi que définir des indicateurs et points de contrôle communs pour vérifier la mise en œuvre de ces engagements.
Le groupe de travail proposera d’ici mai 2018 une liste de contrôles et d’engagements à demander aux fournisseurs (éditeurs de progiciels, intégrateurs et fournisseurs de solutions SaaS), pour les inciter à :
– Donner les moyens aux entreprises et organisations de répondre aux obligations du RGPD, en couvrant notamment les problématiques de sécurité, d’information sur les tentatives d’intrusion, et de territorialité des données (pour les fournisseurs de solutions cloud) ;
– Indiquer aux clients quelles fonctions sont mises en œuvre pour identifier les données personnelles, les extraire (en cas de demande), les rectifier, les supprimer (pour les fournisseurs de logiciels), et intégrer la gestion du consentement explicite (pour les fournisseurs de sites web).
L’ambition du groupe de travail sera ensuite de publier, d’ici 2019, un code de conduite relatif à la RGPD, qui sera soumis à la CNIL et à la Commission européenne.