La nouvelle réglementation de l’Union européenne en matière de protection des données (Règlement général sur la protection des données, RGPD) va avoir un effet direct sur les responsables de la formation et du développement. Depuis le 25 mai 2018, toutes les entreprises doivent mettre en œuvre de nouvelles mesures d’audit, de protection, de sécurité et de traitement des données, non seulement pour leurs clients européens, mais encore pour leurs employés, les candidats à un poste de travail ou même les utilisateurs de leur Learning Management System (LMS).
Cet article vous apprendra tout ce que vous devez savoir sur la nouvelle réglementation sur la protection des données, ainsi que sur la façon dont votre service de formation et développement peut s’y adapter.
Le règlement général sur la protection des données (RGPD)
Après plusieurs années de négociations et son approbation en 2016, la nouvelle réglementation sur la protection des données de l’Union européenne cherche à s’adapter à l’évolution d’Internet en offrant une meilleure protection aux citoyens européens. Dans un contexte de préoccupation croissante sur l’utilisation des informations personnelles et les nouveaux défis qui se posent en matière de confidentialité et de sécurité, avec des organisations qui accumulent des millions de données dans leurs serveurs, le RGPD crée de nouveaux standards en obligeant les entreprises à transformer radicalement le traitement des données.
Parmi les nouvelles modifications apportées par la réglementation, les entreprises doivent désormais obtenir le consentement explicite de leurs clients pour pouvoir traiter des informations sensibles les concernant, mettre en œuvre des mesures de sécurité plus strictes, informer activement de toute faille ou attaque contre ses systèmes informatiques, et permettre aux utilisateurs de modifier ou effacer leurs données.
D’autre part, même si une entreprise n’est pas physiquement implantée dans l’Union européenne, elle est tenue de respecter le RGPD au pied de la lettre quand elle doit traiter les données de citoyens européens.
Toute entreprise qui enfreint le RGPD s’expose à des amendes pouvant aller jusqu’à 20 millions d’euros ou l’équivalent de 4 % de son chiffre d’affaires mondial.
En Espagne, cette nouvelle réglementation sur la protection des données remplace la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal) approuvée en 1999.
Vous pouvez être intéressé: ADA GDPR, le cours de jeux vidéo pour le nouveau règlement général sur la protection des données de l’Union européenne
Quel est l’impact du RGPD sur les services de formation et développement ?
En qualité de professionnels qui obtiennent et traitent les informations personnelles des employés, les responsables de la formation et du développement sont également tenus de respecter la nouvelle réglementation. Tant en ce qui concerne l’offre de formation que la gestion des LMS, et surtout la propre formation des employés (nous en reparlerons plus loin), il est important d’adopter des mesures pour respecter le RGPD. Et voici les cinq aspects les plus importants à prendre en compte :
1. Audit et notification aux employés
La première chose à savoir est le type de données que vous possédez sur vos employés, et les finalités pour lesquelles vous les utilisez. Il peut être très utile de dresser l’inventaire de toutes les informations dont vous disposez, et de l’objectif précis de leur traitement et conservation.
Nous vous recommandons également de contacter les employés pour leur expliquer la nouvelle réglementation et leurs droits. Même si auparavant, les employés devaient aussi accorder leur autorisation, la nouvelle réglementation sur la protection des données précise le besoin d’un consentement « spécifique, éclairé et non équivoque ».
2. À une seule finalité et pendant une durée déterminée
Le RGPD explique que les données des employés ne peuvent être conservées que pour répondre à une finalité spécifique, et ce, pendant une durée déterminée. Si vous avez demandé des informations pour réaliser un cours de formation, par exemple, vous ne pouvez pas les utiliser à d’autres fins. Si un employé a octroyé son consentement au traitement de ses données pour une formation au mois de mai, vous ne pouvez pas l’utiliser pour une autre initiative de formation en novembre.
Si votre entreprise emploie un grand nombre d’intérimaires, de travailleurs indépendants ou free-lances, la nouvelle réglementation européenne sur la protection des données peut vous obliger à effacer leurs données après leur départ de l’organisation, à moins de les destiner à une finalité concrète et d’avoir recueilli leur consentement préalable.
3. Transparence et flexibilité dans la protection des données
Les employés ont désormais le droit de connaître la nature des informations les concernant qui sont collectées par l’entreprise, mais aussi les finalités pour lesquelles celle-ci les utilise et l’endroit où elles sont conservées. Ils peuvent également réclamer à tout moment l’accès à ces informations, ce qui vous oblige à mettre en place un système capable de répondre à de telles demandes.
De plus, vous êtes tenus de vous assurer que toutes les informations sont exactes et mises à jour. Si vous mettez à disposition de vos employés un logiciel facilitant la saisie ou la modification de données, il est important que vous en contrôliez la gestion et que vous garantissiez son bon fonctionnement.
Le service de formation et développement est également obligé d’informer les employés sur le motif de la collecte de leurs données, et celles-ci ne peuvent pas être utilisées à d’autres fins sans leur en faire part. Désormais, les employés peuvent retirer leur consentement à tout moment, c’est pourquoi vous devez prévoir un système flexible et simple à éditer.
4. Sécurité de la protection des données
Comme c’est logique, votre priorité absolue est de vous assurer qu’aucune faille de sécurité ne peut se produire, et que les données de vos employés sont protégées. Toutes les collectes et tous les traitements de données réalisés au sein du service de formation et développement doivent être cryptés. Pour respecter strictement le RGPD, vous devez également crypter toutes les transmissions et communications, afin d’éviter toute cyberattaque.
En cas de vol de données ou d’accès non autorisé aux informations sur les employés, vous disposez d’un délai de 72 heures pour leur notifier. Tout employé susceptible de subir des dommages à la suite d’un vol de données doit être informé « dans les meilleurs délais », selon les termes du propre RGPD.
Selon la taille de votre entreprise et le type d’informations que vous traitez, vous pouvez également être obligés de nommer un délégué à la protection des données (Data Protection Officer en anglais).
5. La nouvelle réglementation sur la protection des données et votre LMS
Tout ce qui précède est d’importance capitale pour gérer votre Learning Management System (LMS), où vous conservez et traitez probablement la plupart des informations collectées dans le cadre de vos initiatives de formation en entreprise. Au risque de nous répéter, assurez-vous bien de respecter les principes suivants :
- tous les utilisateurs du LMS doivent octroyer leur consentement explicite à la conservation et au traitement de leurs données, et ce, avec une finalité spécifique et pendant une durée déterminée ;
- chaque utilisateur peut demander une copie de toutes les données que vous conservez le concernant, y compris une explication de la finalité pour laquelle vous le faites, ainsi que si celles-ci sont utilisées par des tiers ;
- les employés doivent pouvoir révoquer leur consentement ou effacer leurs informations à tout moment ;
- votre fournisseur de LMS (et tout autre fournisseur de cours de formation) doit respecter la nouvelle réglementation sur la protection des données.
Vous pourriez être intéressé par: Gamelearn, la plateforme d’apprentissage basée sur le jeu la plus récompensée au monde (et 100% adaptée au RGPD)
Comment former vos employés au nouveau règlement général sur la protection des données, RGPD ?
En qualité de responsable de la formation et du développement, votre mission la plus importante est probablement la diffusion des connaissances sur la nouvelle réglementation sur la protection des données.
Même si le RGPD n’est pas très spécifique à cet égard, son article 47 mentionne, parmi les règles d’entreprise contraignantes, « la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel. » En d’autres termes : vos employés doivent savoir en quoi consiste le RGPD pour pouvoir respecter les droits des citoyens européens, et par la même occasion éviter à votre entreprise le paiement d’une amende éventuelle.
Voici quelques recommandations qui vous aideront à garantir la réussite d’une formation au sujet de la nouvelle réglementation sur la protection des données :
1 – Commencez par vous-même. Avant de lancer un programme de formation auprès de vos employés, profitez de l’occasion pour tracer la voie et vous former vous-même. Vous connaîtrez ainsi les bases du RGPD, et disposerez du background nécessaire pour choisir la meilleure offre de formation pour vos employés.
2 – Passez en revue les cours que vous dispensez déjà. Avant de vous plonger dans la nouvelle réglementation sur la protection des données, nous vous recommandons d’adapter les autres cours de formation déjà suivis par vos employés sur la protection des données, les relations avec les clients, la cybersécurité… Assurez-vous que tous ces cours reprennent les modifications introduites par le RGPD.
3 – Adaptez la formation aux différents profils. Tous les employés n’ont pas besoin d’avoir les mêmes connaissances au sujet de la nouvelle réglementation européenne sur la protection des données. Selon le type de données auxquelles ils ont accès et qu’ils doivent traiter, leur niveau de compréhension du RGPD peut considérablement varier. Même s’il est recommandé que tous les employés de l’entreprise soient conscients et connaissent les bases du règlement, il est tout particulièrement important de renforcer la formation auprès des profils suivants :
- personnel du service clients
- équipes de marketing
- services d’analyse des données ou big data
- ressources humaines (le traitement des données des employés, mais aussi des candidats qui se présentent à une offre de travail, est un aspect très important)
- service informatique, technologie et télécommunications (en particulier sur les plates-formes qui collectent et conservent les données des clients)
- équipes juridiques au sein de l’entreprise
- les responsables les plus expérimentés de l’entreprise (ils doivent être conscients des défis que représente le RGPD afin de pouvoir en faire part à leurs collaborateurs)
4 – Assurez-vous de pouvoir mettre les contenus à jour. Compte tenu de la rapidité des évolutions technologiques et sociales, il est probable que les modifications de la réglementation sur la protection des données ne s’arrêtent pas là. Tentez de proposer une formation qui puisse être revue et mise à jour de façon simple et rapide, ainsi que d’y ajouter d’éventuelles particularités applicables à votre activité.
5 – Prévoyez des contenus clairs et simples. Dans une réglementation comme celle-ci, de 88 pages et 99 articles, il est vital que les contenus soient clairs et simples, qu’ils abordent les points essentiels de chaque article et s’adaptent aux profils des employés. Le RGPD est rempli de termes techniques et bureaucratiques : dans vos cours de formation, assurez-vous d’utiliser un langage compris par vos employés (sans toutefois compromettre la compréhension totale de la réglementation).
6 – Organisez une formation sans frontières. Si vous travaillez au sein d’une multinationale, veillez à ce que tous les employés ayant accès à des données de citoyens européens reçoivent la formation. Rappel : sachez que même si certains services de votre entreprise ne sont pas physiquement situés dans l’Union européenne (et même si toute l’entreprise se trouve dans un pays tiers), ils sont assujettis au RGPD dès l’instant qu’ils collectent, conservent ou traitent des informations sur des citoyens européens.
7 – Offrez une formation ludique. Dans ce type de cours de compliance, rempli d’explications techniques, il est important que la formation soit accrocheuse et intéressante. Pour y parvenir, utilisez la gamification ou les jeux vidéo. Vous pourrez ainsi renforcer l’engagement et l’intérêt des employés, et transformer cette formation en une expérience amusante et accrocheuse. Le jeu vidéo ADA GDPR, par exemple, transforme l’apprentissage des articles de la nouvelle réglementation sur la protection des données en une aventure post-apocalyptique dont l’objectif est de sauver la planète.
8 – Répétez la formation. Pour vous assurer que la formation est efficace auprès des employés, il est important de la répéter régulièrement. Utilisez des modalités différentes, changez le format des cours, introduisez des nouveautés ou offrez des récompenses à ceux qui obtiennent les meilleurs résultats. Si vous vous contentez d’une seule formation, et qu’ensuite vous n’y revenez pas, il est probable qu’en l’espace de quelques mois, ou d’un an, la plupart des employés aient oublié les clés de la nouvelle réglementation sur la protection des données.
Dans la formation sur le nouveau règlement général sur la protection des données (RGPD), n’oubliez pas le plus important
Compte tenu des obligations quotidiennes des employés et du caractère technique du RGPD, vous courez le risque de voir vos initiatives de formation en rester au stade de simples démarches bureaucratiques. Or, les employés ne doivent pas seulement comprendre et être capables d’appliquer les nouvelles dispositions, il est important que tous les employés soient conscients de l’enjeu de cette nouvelle réglementation : les droits des citoyens européens. Le RGPD cherche à protéger la manière dont sont conservées et traitées les données, ce qui est de plus en plus important dans notre environnement numérique, et c’est cela que le service de formation et développement doit avoir à l’esprit.
Laisser un commentaire