GDPR, 25 mai 2018 : la deadline fatidique
Les entreprises vont devoir se mettre en conformité avec la nouvelle réglementation européenne relative à la protection des données individuelles. Ces nouvelles dispositions, qui vont plus loin que ce que notre CNIL nationale nous imposait jusqu’à présent, sont l’aboutissement de quatre années de réflexion et de travail au niveau européen.
Si la majorité des décideurs en entreprise sont informés et connaissent les grands principes ainsi que les modalités imposées par la GDPR, tous n’ont pas encore lancé les opérations concrètes et indispensables sur l’évolution de leurs organisations, process, méthodes et outils informatiques.
N’ayons pas peur de le dire, la GDPR va modifier en profondeur la gouvernance et les habitudes des entreprises.
Mais avant de rentrer dans le détail des grands principes de ce nouveau cadre commun Européen de protection des données, sachez qu’il s’adresse et sera applicable par toutes les entreprises publiques et privées Européennes et non Européennes qui collectent, traitent ou détiennent des données de citoyens de l’Union. Attention, cela signifie que même le logiciel américain que vous utilisez pour gérer tel ou tel processus impliquant des données individuelles est concerné par ces nouvelles dispositions réglementaires.
GDPR, vers la protection des données individuelles
Axiome de base, il va falloir sensibiliser tout le monde à une vraie protection des données individuelles. Ce principe de base va devoir être en permanence au cœur de la vie et de la gestion des données personnelles. Qu’il s’agisse des phases amont d’analyse en vue de la conception et de la mise en œuvre d’un outil informatique ou des évolutions tout au long de sa vie, vous devrez, à chaque étape, décrire précisément les conditions de stockage et de traitement des données. Attention, plus question, par exemple, de prévoir un stockage massif de données dans un datawarehouse (entrepôt de données) maison sans définir précisément en amont tous les traitements possibles et leurs finalités.
Cerise sur le gâteau : un registre (à jour) des traitements sera obligatoire pour toutes les entreprises détenant des données sensibles. Quand on connait la quantité de traitements effectués, les multiples redondances de données ou le nombre de formulaires sensibles dans une entreprise liés à la digitalisation galopante en cours, on ne peut que rester dubitatif devant l’étendue de la tâche qui attend les DRH.
Un délégué « à la protection des données » (DPO) aura la lourde responsabilité de coordonner la mise en place de cette nouvelle gouvernance.
Les intéressés devront également connaître les modalités de retrait des données les concernant.
En cas d’exercice de ce droit à l’oubli les entreprises disposeront d’un délai limité pour les retirer de tous les traitements et systèmes de gestion informatisés ou non. Qui plus est, les intéressés pourront exiger une traçabilité et la preuve des opérations relatives à ces suppressions. Le législateur, pour éviter toute dérive, a cependant indiqué que cette demande se devait d’être « légitime ».
Un autre point clé du règlement Européen concerne la sécurisation des données. Les entreprises auront l’obligation de veiller à la sécurité des données ainsi que de formaliser toutes les protections mises en œuvre. Les données pourront être cryptées ou chiffrées dans les fichiers et être stockées au sein de de datacenters hypersécurisés. Toute violation ou intrusion devra être notifiée dans les 72 h par le DPO.
C’est exactement ce que des éditeurs français comme Fœderis ont déjà mis en œuvre autour leur logiciel RH en mode SaaS : des systèmes de sécurité qui vont bien au-delà de ce qu’habituellement les entreprises mettent en place pour elles-mêmes. Les logiciels de sécurité sont souvent doublés et tous les processus de supervision répondent à des exigences extrêmement poussées. Les dernières versions des logiciels directeurs sont automatiquement implémentées. Des robots scannent en permanence les systèmes pour déceler d’éventuelles tentatives d’intrusion.
GDPR, un accord explicite et formel de tous
…salariés comme clients pour saisir, stocker et détenir des données individuelles.
GDPR, preuve de consentement est clée
L’entreprise devra pouvoir fournir la preuve du consentement à utiliser les données…si l’intéressé en fait la demande. Elle devra expliquer et formaliser les tenants et les aboutissants de tout traitement mis en œuvre, les objectifs de tous les processus impliquant des données personnelles que ce soit à des fins commerciales, informatiques ou autres.
En résumé, des chantiers de grande ampleur attendent entreprises, sous-traitants et syndicats.
Cette transition vers une protection renforcée des données individuelles peut être une opportunité pour les employeurs et les partenaires sociaux pour resserrer des liens aujourd’hui quelque peu distendus.
A eux de la saisir.
Bernard GAUVIGNON
Associé Fondateur
