Le RGPD, la nouvelle législation européenne sur la protection de la vie privée, entrera en vigueur le 25 mai 2018 et remplacera la législation belge en la matière. Même si ce thème évoque d'abord l'informatique et le marketing, les RH ont elles aussi du pain sur la planche pour se mettre en ordre de marche. Ces sept conseils vous mettront sur la bonne voie.
1 – dressez un inventaire complet des données
Le RGPD contraint les entreprises à lister les données à caractère personnel qu'elles conservent. Vous devez tenir par écrit l'objectif dans lequel vous collectez les données, ainsi que la méthode par laquelle et l'endroit où celles-ci sont conservées. Pour les RH, nous pensons bien entendu aux données relatives aux membres du personnel (anciens et actuels), mais aussi aux candidats, fournisseurs, étudiants, stagiaires, etc.
2 – vous pouvez toujours traiter les données
Vous devez verser les salaires et être en règle de sécurité sociale. Or, sans données personnelles, c'est impossible. Devez-vous demander systématiquement le consentement explicite des personnes concernées pour pouvoir utiliser ces données? Non, le RGPD permet aux entreprises de traiter les données quand c'est nécessaire, par exemple dans le cadre d'un contrat de travail.
3 – veillez à pouvoir justifier vos pratiques
Le RGPD introduit le principe de justification: vous devez en permanence être capable de justifier la manière dont vous gérez les données à caractère personnel. Si quelqu'un vous le demande, pouvez-vous donner une explication acceptable à ce que vous faites des données collectées, et pourquoi?
Cette question peut prendre un tour très concret. Puis-je justifier la conservation des données de candidats? Puis-je démontrer que les données sur les salaires sont suffisamment sécurisées? Si l'un de mes collaborateurs oubliait son ordinateur portable dans le train, pourrais-je motiver le fait que les résultats de l'évaluation annuelle n'ont pas été cryptés?
4 – formez vos collaborateurs
Attirez l'attention de vos collaborateurs sur l'importance d'une bonne gestion des mots de passe. Enseignez-leur à prendre en considération la vie privée des personnes dont ils traitent les données. Établissez une procédure que vous pourrez suivre si un problème devait survenir. En tant que responsable RH, pensez également à la formation des collaborateurs d'autres services qui manipulent des informations sensibles.
5 – adressez-vous à vos partenaires et fournisseurs
Les données ne restent pas entre les murs de votre entreprise: vous les stockez dans le cloud et les envoyez à des fournisseurs de services. Identifiez les partenaires avec lesquels vous travaillez – bureaux de sélection, secrétariats sociaux, agences de formation externes, etc. – et dans quelle mesure ils ont accès aux données. Veillez à ce que les contrats conclus avec ces partenaires comportent les dispositions adéquates en matière de protection des données.
6 – désignez un responsable
Si la plupart des entreprises ne sont pas tenues de nommer un Data Protection Officer, il est recommandé de rendre quelqu'un responsable de la protection des données. Cette personne tiendra le registre à jour, suivra la législation et incitera les autres à respecter les dispositions prises. Est-ce une fonction à temps plein? Certainement pas dans toutes les entreprises.
7 – ne vous laissez pas effrayer
Les amendes possibles en cas d'infraction au RGPD ne sont pas négligeables: 20 millions d'euros ou 4% du chiffre d'affaires mondial. De quoi donner des sueurs froides à toute entreprise… Pourtant, des contrôles stricts ne devraient pas être organisés dès le 25 mai, à en croire les déclarations de l'actuel président de la Commission à la vie privée.
Peut-on pour autant ignorer totalement le RGPD? Absolument pas. Les entrepreneurs ont tout intérêt à tenir compte du fait que des citoyens engagés utiliseront le RGPD pour faire valoir leurs droits en matière de vie privée.
Quel est l'impact sur votre entreprise ou organisation du nouveau règlement européen sur la protection des données? Découvrez toutes les détails ci-dessous?
- l'objectif et l'application des règles plus sévères en matière de protection de la vie privée;
- la responsabilité et l'obligation de rendre des comptes des entreprises;
- le rôle du Data Protection Officer (le Délégué à la Protection des données);
- la gestion de vos fournisseurs et processeurs de données;
- que se passe-t-il en cas de fuite de données ou d'intrusion. Et quelles sont les sanctions;
- quid en cas de transfert de données en dehors de l'UE