La simple entrée dans une entreprise vaut consentement de la part du collaborateur pour que l’entreprise collecte un certain nombre de données personnelles nécessaires à son fonctionnement ; mais, avec les nouvelles lois, le droit à la transparence et la récupération de ces données par les collaborateurs vont être renforcés. Ce droit se traduit pour les entreprises par l’obligation de mettre de façon sécurisée ces données à disposition des demandeurs légitimes et de faciliter une possible rectification, ce qui implique l’apparition d’un nouvel acteur qui devra gérer et garantir le traitement de ces données. Nous assisterons donc rapidement à l’apparition systématique d’un data protection officer ou à sa montée en puissance, selon les entreprises.

Pour les PME, qui n’ont pas de direction juridique interne, les problèmes que cela pose sont multiples.

D’un point de vue pratique, les données personnelles doivent être cartographiées afin d’être inventoriées, classifiées et classées. Le registre de traitement des données ainsi créé sera la base d’un plan d’actions à mener afin de sécuriser les données personnelles à hauteur de leur sensibilité, d’évaluer les risques encourus et de mettre en place les processus et protections pour gérer ces risques. Par exemple, les failles de sécurité devront être colmatées, et les données devront être collectées de façon à respecter la loi en vigueur – ces travaux de mise en conformité conduiront à rapprocher les DSI et DRH. En effet, toutes les mesures techniques et organisationnelles nécessaires au respect des données, et notamment à limiter la quantité des données traitées, devront être prises le plus en amont possible.

L’enjeu est différent pour les grandes entreprises, où le responsable conformité, qui reporte de plus en plus au souvent au PDG, prendra de l’ampleur et absorbera très certainement la fonction de Data Protection Officer au vu des conséquences pécuniaires et autres sanctions administratives de cette règlementation pour les entreprises et leurs dirigeants. Le responsable de la conformité sera donc en charge d’un nouvel enjeu global pour l’entreprise, qui touche les DRH (qui ont besoin de collecter et utiliser des informations personnelles), DSI (pour la sécurité, le stockage et la visibilité des données notamment), les départements communication (pour les affaires publiques et relations institutionnelles), juridique ou encore financier.

Si le règlement européen apparaît de prime abord comme un projet de conformité, il est avant tout l’opportunité de mettre en oeuvre de nouvelles stratégies ainsi que les transformations utiles pour s’adapter aux nouvelles pratiques de marché, aux nouvelles évolutions technologiques et renforcer de ce fait la confiance des personnes dans l’entreprise. Pour y parvenir, le projet de mise en conformité doit être approché de façon pragmatique et progressive, et capitaliser sur les moyens techniques et organisationnels existants. Toutefois, quatre chantiers principaux sont isolables :

Quatre chantiers principaux sont isolables. Le premier consiste à mettre en place un volet Gouvernance relative aux moyens organisationnels à mettre en oeuvre (traçabilité documentaire, désignation du DPO) ; le second, à mettre en place un volet Risques et Contrôle interne relatif aux méthodes et outils d’évaluation et de contrôle des traitements de données à caractère personnel ; le troisième concerne la mise en place d’un volet Système d’information relatif aux moyens techniques à mettre en oeuvre (sécurité, traçabilité, notification, audibilité) ; enfin, le dernier requiert de mettre en place un volet Sensibilisation relatif aux moyens et méthodes de communication (interne et externe) et de sensibilisation des parties prenantes et acteurs concernés au sein de l’organisation.

Au-delà de ces nécessaires évolutions qui modifieront les équilibres de pouvoir au sein des entreprises de toutes tailles, les ressources humaines devront suivre de près l’évolution du RGPD et de son interprétation par le juge, car certains problèmes qui se posent sont particulièrement pertinents pour elles. En effet, lorsqu’une entreprise reçoit un CV, un certain nombre d’informations y sont contenues – notamment le sexe, l’âge et la formation – ou embauche un collaborateur, elle collecte un certain nombre de données, ce qui pose la question de savoir si cela constitue ou non un profilage.

L’enjeu est fort, car en cas de données sensibles (opinion politique, appartenance syndicale, orientation sexuelle, mais aussi composition du foyer, références bancaires…) à même de constituer un profilage, l’autorité de protection des données doit nécessairement être contactée avant le traitement des informations. Or la CNIL peut s’opposer au traitement de ces données lorsque ce traitement est systématique et repose sur des critères personnels, ce qui aurait pour conséquence directe d’empêcher les ressources humaines de travailler comme elles le font actuellement.

Avec ce renforcement de la responsabilité des acteurs de la protection des données personnelles, le règlement européen instaure une logique de conformité en lieu et place d’une logique de formalités préalables. La charge de la preuve incombe désormais à ces derniers et non plus à la personne concernée. Dans un monde concurrentiel, mondialisé et de plus en plus réglementé, les entreprises ont l’obligation de protéger la donnée. Et ce n’est que le début !

Sourced through Scoop.it from: www.lesechos.fr