Le nouveau règlement général sur la protection des données de l’Union européenne, connu sous son sigle RGPD et entré en vigueur le 25 mai 2018, représente d’importants changements pour toutes les entreprises qui conservent des données relatives à des citoyens européens. Ce règlement général sur la protection des données concerne presque tous les services des entreprises, et tout particulièrement celui des ressources humaines.
Si vous êtes professionnel de ce secteur, voici cinq actions que vous devez implanter au sein du service des ressources humaines pour vous adapter à la nouvelle réglementation en matière de protection des données :
1 – Faites un audit des données que vous collectez et des fins auxquelles vous les utilisez
Avant toute chose, il est important que vous connaissiez les données personnelles que vous conservez et les finalités pour les lesquelles vous les utilisez. La nouvelle réglementation européenne exige que les données soient parfaitement localisées, et qu’elles puissent être modifiées ou effacées à tout moment, mais aussi qu’elles aient une finalité précise. Pour vous ajuster au RGPD, faites un audit ou inventaire et analysez en détail les données que vous conservez déjà.
2 – Demandez le consentement explicite des employés
La nouvelle réglementation sur la protection des données exige de la part des citoyens européens une manifestation de volonté « libre, spécifique, éclairée et non équivoque » par laquelle ils acceptent que vous puissiez traiter leurs données personnelles. Pour cette raison, nous vous recommandons de demander le consentement de vos employés et de leur expliquer les finalités pour lesquelles vous collectez leurs données personnelles. Le RGPD explique en outre qu’il doit y avoir une durée limite de conservation.
3 – Garantissez la sécurité des données
Avec la nouvelle législation, vous êtes obligés de garantir la sécurité et la protection des données que vous collectez. Pour cette raison, aussi bien la collecte d’informations que leur transmission ou communication (par l’envoi d’e-mails ou de documents, par exemple), doivent être cryptées.
S’il se produit un accès non autorisé aux données personnelles de vos employés ou une faille de sécurité, vous êtes obligés de les informer dans un délai de moins de 72 heures.
4 – Formez vos employés sur la nouvelle réglementation sur la protection des données
Pour veiller à ce que tout le personnel soit informé du RGPD, le service des ressources humaines se verra probablement confier la conception d’un programme de formation pour l’ensemble de l’entreprise. Il s’agit là d’une mission d’importance vitale, car c’est d’elle que dépendent l’alignement général de l’entreprise sur la nouvelle réglementation sur la protection des données et sa capacité à échapper à des sanctions pécuniaires pouvant s’élever jusqu’à 20 millions d’euros (ou 4 % du chiffre d’affaires annuel mondial).
Avant de concevoir ce programme de formation sur le RGPD, vous devez savoir qu’il vous faudra proposer des cours différents selon le profil de chaque employé. Veillez à ce que le contenu soit de la plus haute qualité, mais compréhensible pour les employés. Essayez par ailleurs de répéter les cours avec une certaine périodicité pour vous assurer que les informations sont bien assimilées.
5 – Sélectionnez le délégué à la protection des données de l’entreprise
Même si cela dépend des dimensions de votre organisation et du type de données que vous collectez, il est probable que votre entreprise soit tenue de désigner un délégué à la protection des données (en anglais, Data Protection Officer, DPO). Cette personne sera tenue de superviser le respect du RGPD par l’organisation, ainsi que de coopérer avec les autorités de contrôle. Il peut arriver que le délégué à la protection des données soit un membre du service des ressources humaines. Dans ce cas, veillez à ce qu’il reçoive une formation spécifique sur le nouveau règlement général sur la protection des données de l’Union européenne.