Contact Us
+33 (0) 153 622 214

Search here:
 

Dossier spécial : RGPD, 25 mai, êtes-vous prêts ?

RGPD, êtes-vous prêts ?

Les questions des implications du RGPD sur la fonction RH sont nombreuses.

Ne vous fiez pas aux apparences, celui-ci représente une véritable opportunité pour les ressources humaines. Le Règlement général pour la Protection des Données va permettre d’enclencher la voie en matière de Data Privacy. La fonction RH et son expertise se veut plus que jamais au cœur des enjeux de l’entreprise.

Descriptif du RGPD et champs d’actions

Le nouveau règlement européen sur la protection des données personnelles, dit RGPD (Règlement Général de la Protection des Données) ou GDPR (General Data Protection Regulation) paru au journal officiel de l’Union européenne entrera en application le 25 mai 2018. Pour l’Europe, l’adoption de ce texte pose un cadre légal à la réalité du numérique, lui permettant ainsi d’y rentrer pleinement.

Le numérique n’a pas toujours été une priorité en Europe. Ces dernières années, l’appréhension de la protection des données personnelles s’est installée dans l’opinion publique suite aux différentes affaires d’espionnage et de piratage. Face à cela, la considération des nouveaux enjeux du numérique fut extrêmement tardive. La législation autour de la protection des données se contentait de quelques textes de lois nationaux avec de fortes disparités de traitement. Jusqu’à présent, la loi n°78-17 du 6 janvier 1978 « relative à l’informatique et libertés », révisée en 2016, régissait la législation sur l’informatique en France.

Une nécessité d’encadrer légalement le numérique

L’explosion des données collectées est bien là, il est devenu illusoire de tenter de les mesurer chaque jour. Notre quotidien tourne autour de cette digitalisation avec toujours plus de services accessibles d’un simple clic. Les données que nous communiquons sur nous, dont souvent des données personnelles comme notre nom, notre email, notre âge, foisonnent de façon exponentielle. Les principaux coupables de cette désinhibition sont les réseaux sociaux. Et la tendance ne va pas s’arrêter, les nouvelles technologies comme l’Internet Of Thing (IOT) ou le Big Data ont ouvert la voie à une collecte de données massive entièrement automatisées. A titre d’exemple, le vol de plus d’un milliard d’adresses emails Yahoo de 2013 établit un nouveau record.

La réponse de l’Europe, le RGPD : Compétences et champ d’action

Le GDPR (General Data Protection Regulation) apporte une réponse autour de la protection des données personnelles. Via ce texte, l’Europe responsabilise l’ensemble des acteurs du numérique. Ce texte abroge la directive 95 /46 du 24 octobre 1995 à partir de Mai 2018. S’agissant d’un règlement, son effectivité est immédiate. Le texte définit clairement la notion de donnée personnelle comme un renseignement personnel permettant d’identifier directement ou indirectement une personne physique. Les données physiques, physiologiques, culturelles et sociales d’un individu sont directement concernées.

Principaux vols de données personnelles des dernières années

 

Nombre de comptes compromis en millions

1000

Yahoo

145

Ebay

360
Myspace
117
Linkedin

Le champ d’application territorial du texte est l’Union Européenne, le texte s’applique dès lors que « l’établissement » du responsable du traitement ou du sous-traitant effectue un traitement de données personnelles d’un citoyen européen. Concernant la notion d’établissement dans le RGPD : « l’établissement suppose l’exercice effectif et réel d’une activité au moyen d’un dispositif stable. La forme juridique retenue pour un tel dispositif, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard ». Le texte peut ainsi s’appliquer en dehors des frontières de l’UE dès lors que le responsable du traitement est établi hors UE mais que ses activités de traitement sont liées à « l’observation du comportement de ressortissants de l’Union Européenne ». Le RGPD (Règlement Général de la Protection des Données) précise les droits des citoyens vis-à-vis des sociétés qui traitent leurs données personnelles.

Le droit d’être informé

Le droit d’accès

Le droit à l’effacement

Le droit de rectification

Le droit à la portabilité des données

Le droit de restreindre le traitement

Le droit de ne pas être soumis à la prise de décision automatisée, y compris le profilage

Le RGPD : Un défi pour les entreprises

Des obligations vis-à-vis du RGPD pour les entreprises

L’autre objectif du règlement européen est incontestablement de responsabiliser les entreprises qui traitent les données. Ce nouveau mécanisme « d’accountability » les contraint à s’autocontrôler.

Bien que la mise œuvre du dispositif peut s’avérer très complexe, il représente toutefois une chance pour les entreprises de valoriser leurs données. Leurs bonnes utilisations peuvent constituer un formidable booster de renforcement de réputation et de l’image. Néanmoins, des impératifs s’imposent et pas des moindres…

L’une des idées mise en avant dans le RGPD est celle du « privacy by default ». Ce concept nécessite d’avoir une vision globale des traitements. Les entreprises de plus de 250 salariés qui traitent régulièrement des données devront les recenser à travers un « registre des traitements ». En réalité, il s’agit de prouver que l’ensemble de leurs traitements respectent les règles applicables.

Une prérogative également valable pour le marketing. Le « privacy by design » impose à une entreprise de prendre en compte la protection des données en amont de la conception d’un produit ou d’un service. Une difficulté certaine tant l’union entre le marketing et le traitement des données est sacrée pour certaines entreprises mais pas non plus insurmontable. Les signatures numériques nécessaires pour son utilisation peuvent par exemple jouer ce rôle d’assureur. Autre obligation qui incombe aux entreprises est celui du droit à l’effacement mis en avant via l’article 17. Celui-ci indique que « toute personne a le droit d’obtenir du responsable de traitement l’effacement, dans les meilleurs délais, de données à caractères personnelles ».

des entreprises ne seront pas totalement conformes en 2020 (soit 2 ans après la date limite) 0
2023

date à laquelle toutes les entreprises seront conformes (soit 5 ans après la date limite)

Des sanctions en cas de non-respect, en réalité les risques vont bien au-delà

Dans son aspect pratique, le RGPD c’est 99 articles (Lire le RGPD dans son intégralité ici) qui représentent un danger pour les entreprises qui ne les respectent pas. En France, la sanction maximale prévue par la CNIL va jusqu’à 4% du chiffres d’affaires. Au-delà de ces impératifs purement règlementaires, le traitement des données entre au cœur des enjeux concurrentiels pour les entreprises. Une mauvaise gestion du « data » peut engendrer un impact très négatif. L’exemple de Equifax aux Etats-Unis en est la preuve. Pour rappel des faits, le 7 septembre dernier, la société avait annoncé un vol massif de ses données. En quelques jours, sa valeur boursière fut divisée par deux. Une sanction qui va bien au-delà des 4%…

Quatre risques pour les entreprises qui ne respectent pas le RGPD (source : Cabinet Racines Avocats)

Sanction financière

Risque en termes d’image

Risque de suspension / limitation des conditions d’utilisation d’un traitement

Risque de condamnation pénal dans les cas les plus extrêmes

En réalité, le fondement du texte pousse les entreprises à repenser sa relation avec les clients et partenaires mais aussi à s’autocontrôler. Le RGPD tombe à point nommé pour penser une politique data au service d’une meilleure relation marque consommateur. Une confiance plus que jamais indispensable à la construction d’une réputation durable des entreprises.

A quelques mois de son entrée en vigueur, le RGPD reste une source d’inquiétude importante pour les entreprises. Les derniers chiffres prouvent que moins de 30% des entreprises françaises sont prêtes. Le travail s’avère colossal pour regrouper l’ensemble des données et la note s’annonce particulièrement salée pour les grandes entreprises.

La place majeure du Data Protection Officer (DPO)

Le RGPD contraint les entreprises à désigner en interne, un délégué à la protection des données : « Le Data Protection Officer ». Ses champs d’actions sont multiples.

Informer et conseiller sur les obligations et droits en ce qui concerne les données

Contrôler l’application du RGPD au sein de l’entreprise

Être l'unique interlocuteur avec les différentes autorités de contrôle

La position de la CNIL sur le RGPD

Un règlement « lourd et exigeant »

Certaines obligations à venir s’annoncent d’ores et déjà difficiles à atteindre pour les entreprises.

Tout d’abord le futur principe de responsabilisation contraint les organisations à passer sur de l’autocontrôle. Ça sera désormais à elle de prendre les dispositions nécessaires afin de garantir sa conformité des traitements de données personnelles. Elle devra être en mesure de le démontrer à tout moment en tenant un registre à jour de l’ensemble de ses traitements. L’autre point mis en avant est celui de la coresponsabilité des sous-traitants. Ces derniers seront liés contractuellement afin de garantir la protection requise et d’alerter en cas de fuite des données.

Le dernier principe est sans doute celui qui rompt définitivement avec ce qui se fait actuellement en matière gestion de données personnelles.

Le « privacy by design » oblige les entreprises à intégrer la protection de la vie privée dès la conception d’un produit et/ou d’un service. L’autre axe est celui du « privacy by default », autrement dit, l’idée qu’un responsable de traitement de données garantit qu’il ne traite que des informations nécessaires à une finalité. Ces données doivent ensuite être effacées systématiquement une fois le travail achevé. Ce privacy by default rétroactif, s’appliquera à tous les traitements existants au 25 mai 2018, date de prise d’effet du RGPD. En revanche, le privacy by design ne concernera que les traitements initiés à partir de cette date.

Nous vous proposons un accompagnement sur mesure pour votre mise en conformité

Nous vous accompagnons tant sur la partie conseil que sur la partie solution à mettre en place, nos experts sont à votre disposition.

CONSEIL

Audit / diagnostic flash

Présentation des principes du RGPD

Etats des lieux & assistance juridique

Planification du projet de conformité

1ère évaluation des risques

Accompagnement / cadrage

Cartographie des traitements

Définition de la cible organisationnelle

Revue des impacts organisationnels

Evaluation des risques

Analyse du fondement juridique

Trajectoire de conformité

SOLUTION

Etat des lieux

Contenu du registre

Besoins

Applicabilité

Risques

Solution éditeur / spécifique / prototypage

Choix de la solution la plus adaptée

Test sur échantillon (traitements)

Déploiement

Déploiement de la solution

Les experts HR Path nous parlent du RGPD

Dans nos métiers des ressources humaines, nous traitons exclusivement des données personnelles que ce soit pour nos employés et nos clients. L’impact du RGPD dans l’univers des SIRH va être colossal.

Guillaume Chavy, Responsable RGPD chez HR Path

Le Data Privacy Officer va occuper un rôle majeur dans les entreprises qui traitent de données personnelles. Son rôle sera de leader tous les projets qui concernent l’entreprise à la fois en interne sur la gestion des collaborateurs et en externe sur le traitement des données traitées autour des clients.

Fanny Bachelet, associée HR Path

La protection des données constitue un vrai enjeu de marque employeur dont les risques peuvent être plus importants que l'éventuelle sanction liée à l'aspect règlementaire.

Benjamin Butez, Consultant HR Mind

Testez votre conformité RGPD

Ce quiz est fourni uniquement à titre indicatif. Il n’offre aucun conseil juridique et n’implique aucune relation client/avocat. Veuillez consulter nos experts en ce qui concerne le RGPD et toute législation s’y afférent. HR Path décline toute responsabilité quant à l’exactitude des informations fournies. Ce quiz est fourni en l’état et sans garantie expresse, implicite ou légale. Les réponses individuelles à ce quiz ne seront communiquées à personne et seront traitées de manière confidentielle.

[wp_quiz id= »8950″]

Nos experts RGPD sont à votre écoute.