C’était le grand chamboulement de ce premier semestre 2018 : la modification de la loi Informatique et Libertés et de son décret d’application permettant la mise en œuvre concrète du Règlement Général sur la Protection des Données (RGPD). 4 mois après la demande de mise en conformité des entreprises, le 25 mai 2018, où on est-on ? Quel est l’enjeu pour le département RH, directement concerné par la gestion des données personnelles des collaborateurs ?
Un bilan mitigé 4 mois après l’entrée en vigueur du RGPD
Une étude réalisée par Talend sur les demandes d’accès aux données personnelles, entre le 1er juin et le 3 septembre a interrogé 103 entreprises, implantées ou opérant en Europe, dans divers secteurs d’activité tels que le commerce, les médias, les nouvelles technologies, le secteur public, la finance et les transports. Les résultats ont été évalués sur les réponses portant sur l’article 15 (Droit d’accès de la personne concernée) et l’article 20 (Droit à la portabilité des données) du RGPD, les références au règlement dans les politiques de confidentialités et/ou mentions légales, ainsi que le délai de traitement et l’exhaustivité des réponses.
Il s’avère que 70 % des entreprises sondées n’ont pas pu répondre aux demandes d’accès aux données personnelles et de portabilité dans le délai imparti d’un mois à compter de la réception de la demande.
En France on estime à seulement 24 % les entreprises conformes au RGPD et on constate que le taux de conformité est plus élevé en dehors de l’Europe (50 %). Les entreprises non-européennes ont donc certainement adopté une approche légèrement plus proactive face aux modifications de la loi Informatique et Libertés.
Concrètement, que faire pour poursuivre votre mise en conformité RGPD ?
De manière générale, vous devez considérer différents leviers pour vous mettre en conformité :
- juridiques (contrats et conventions de prestations, politique de confidentialité…),
- organisationnels (mise à jour des process en terme de collecte et utilisation des données, ainsi qu’en terme d’information des personnes concernées),
- techniques (prise en compte des exigences du règlement dans le système d’information : gestion des accès, protection des bases de données, respect des délais de conservation…).
L’enjeu se situe bien dans la perpétuation des bonnes pratiques dans le temps plutôt que de succomber à un affolement pré/post échéance pour finalement ne rien changer dans les process.
La gestion des données RH et RGPD, comment prioriser vos actions de mise en conformité ?
En tant que TPE/PME, vous avez certainement peu de moyens à allouer à ce sujet. Pourtant, quelle que soit la taille de votre structure, la gestion des données personnelles des collaborateurs est directement visé par le règlement européen et impose une analyse des pratiques liées au recrutement et les fins de contrats, mais plus largement à toutes les étapes de vie des collaborateurs au sein de l’entreprise (CE, événements internes, etc.). Nous vous conseillons donc d’adopter une démarche pragmatique en retenant les deux principes RGPD les plus importants à appliquer :
- la transparence (information des personnes concernées),
- la responsabilité (« accountability » dans le RGPD) qui consiste principalement à tenir des registres pour les activités pour lesquelles vous traitez des données personnelles.
Pour tout besoin d’informations complémentaires n’hésitez pas à consulter notre documentation sur le sujet (RGPD : synthèse, impacts et mise en oeuvre) ou encore le site de la Commission Nationale de l’Informatique et des Libertés (CNIL) qui propose beaucoup d’informations utiles et pédagogues sur le RGPD.