20

millions

d'euros de sanction si les entreprises ne respectent pas les dispositions du rgpd

Créé par la commission européenne afin de protéger les données des citoyens européens des abus des GAFA, mais aussi les prémunir contre les fuites de données massives comme de nombreux grands acteurs du Net en ont été victimes ces dernières années, le RGPD (pour Règlement Général sur la Protection des Données) va entrer en vigueur le 25 mai 2018. Il va concerner toutes les entreprises, qu'elles soient européennes ou pas, du moment qu'elles manipulent les données personnelles de résidents européens. Bien que beaucoup des articles du nouveau règlement européen reprennent les principes de la 
loi « Informatique et Libertés » française, pour bon nombre d'entreprises françaises cette mise en place constitue un électrochoc. Les peines encourues en cas de manquement au règlement européen – on parle d'amendes de 4% du chiffre d'affaires mondial de l'entreprise ou vingt millions d'euros – ne permettent plus aux géants du Web de négliger la protection des données de leurs clients, de leurs collaborateurs.

En mai, soyez prêts pour le rgpd

gdpr

e-media

Tout le personnel doit être sensibilisé au RGPD 

Pour les collaborateurs, la mise en place du RGPD se traduit généralement par la nomination d'un DPO (Data Protection Officer). Il s'agit bien souvent du CIL, le Correspondant Informatique et Libertés qui réalisait l'interface entre l'entreprise et la CNIL. Le DPO est en charge de la mise en conformité au RGPD de l'entreprise. Il doit cartographier tous les processus et traitements dans un registre qui devra prouver la conformité de l'entreprise lors d'un contrôle de la CNIL. Dès qu'un collaborateur va être amené à traiter de l'information en interne en dehors des procédures habituelles, celui-ci va devoir demander à son DPO si ce traitement est conforme au registre des traitements. Les traitements définis dans le registre vont être suffisamment génériques pour ne pas contraindre les collaborateurs à solliciter sans arrêt leur DPO, néanmoins ce dernier doit expliquer les enjeux du RGPD au personnel via des conférences de sensibilisation, voire des journées de formation lorsque beaucoup de données personnelles critiques sont traitées par l'entreprise. 

blandine
Regard d'expert

Blandine Bellon

DPO de la SIB

Les collaborateurs doivent avoir le réflexe de solliciter leur DPO 

C'est le cas du groupement d'intérêt public SIB qui fournit des services IT dans le secteur de la santé. « J'organise régulièrement des sessions de sensibilisation afin que nos collaborateurs adoptent un certain nombre de réflexes dès lors qu'ils manipulent des données personnelles », explique Blandine Bellon, DPO de la SIB. « Il faut les accompagner pour qu'ils identifient la donnée personnelle dont la définition va bien au-delà des seuls nom et prénom. S'il s'agit d'un nouveau traitement, d'un nouveau service, il faut qu'ils aient le réflexe de solliciter leur DPO pour que ce nouveau traitement prenne bien en compte toutes les nouvelles règles liées au RGPD. » Une pratique aussi courante que de conserver les CV reçus dans un dossier par la DRH, qui veut se constituer un vivier de candidats, nécessite l'aval du DPO car il faut fixer une durée de conservation maximale à ces CV. « La personne morale qu'est l'entreprise doit avoir une bonne connaissance de son système d'information, savoir où est stockée la donnée personnelle, mais cette connaissance ne suffit pas. Il faut déterminer sa durée de conservation en fonction de sa finalité. On ne peut conserver des données sur les prospects de l'entreprise ou des candidats à l'embauche ad vitam aeternam. »

La sécurité des données touche tous les acteurs

rgpd
Shutterstock

Les startuppers ne peuvent plus faire l'impasse sur la sécurité des données

protégez vos données

keys

Nulle entreprise ne va échapper au RGPD, et si les conditions d'application sont plus légères pour les PME de moins de 250 personnes, même une start-up doit préparer ses collaborateurs à revoir leurs pratiques vis-à-vis des données personnelles. Alban Dehont, directeur Marketing et ventes chez Vidata, occupe le rôle de DPO dans cette start-up qui offre un service SaaS de personnalisation des vidéos promotionnelles et explique pourquoi : « Le RGPD est un grand chantier pour une start-up, mais nous avons la volonté d'aller vers la conformité petit à petit car c'est aujourd'hui devenu un frein au renouvellement des contrats cadres avec les grands comptes. » Les grandes entreprises doivent s'assurer de la conformité de leurs sous-traitants et les DSI demandent à leurs fournisseurs de compléter des formulaires relatifs à leurs bonnes pratiques en termes de protection des données personnelles. « Pour une entreprise telle que la nôtre, c'est un vrai changement d'approche », reconnaît Alban Dehont. « Une start-up met traditionnellement tous ses moyens pour développer ses produits et son chiffre d'affaires. L'agilité est privilégiée et les contraintes sont perçues comme des freins à la créativité et au développement. » La liberté habituellement donnée aux développeurs dans l'accès et le partage des données doit désormais laisser la place à une approche plus structurée. « Il faut faire en sorte que les collaborateurs perdent leurs mauvaises habitudes. Il est nécessaire de les responsabiliser, sachant que beaucoup utilisent leur propre matériel informatique. Cette responsabilisation est nécessaire sachant qu'en cas de fuite de données, la responsabilité du sous-traitant peut être engagée. » Les startuppers mais aussi les collaborateurs d'entreprises plus classiques vont devoir observer des bonnes pratiques édictées par leur DPO, mais ils vont aussi devoir se montrer beaucoup plus prudents vis-à-vis de l'utilisation de leur propre matériel et de services non approuvés par la DSI.

Quels droits de regards sur nos données ?

eyes
Schutterstock

Shadow IT, attention danger !

En effet, la position du DPO se complique sérieusement lorsque les utilisateurs décident d'exploiter des outils informatiques à leur insu, ainsi qu'à l'insu de la DSI. S'il existe des outils « labélisés RGPD » et qui parcourent les serveurs de l'entreprise afin de trouver des fichiers Excel, des bases Microsoft Access et autres fichiers pouvant contenir des données nominatives, ces outils ne peuvent fournir qu'un état du système d'information à l'instant T. En outre, un salarié peut totalement passer au travers des contrôles en stockant de la donnée sur un service SaaS. Dès lors, si une fuite de données personnelles survient chez ce prestataire ou si l'utilisateur laisse un accès libre à ces données par négligence, ce qui est fréquent, la responsabilité de l'entreprise peut être engagée.

cédric
Regard d'expert

Cédric Cartau

RSSI et DPO du CHU de Nantes

Le RGPD est une approche de gestion des risques qui est très saine et qui va assainir les pratiques des entreprises vis-à-vis de leurs données personnelles

Dans cette logique, avoir des contacts personnels sur son smartphone d'entreprise les fait passer sous la coupe du RGPD. Devant le danger lié aux comportements des collaborateurs vis-à-vis des données personnelles, le DPO peut adopter deux attitudes. Pour Cédric Cartau, RSSI (Responsable de la sécurité des systèmes d'information) et DPO du CHU de Nantes et du GHT44, il faut interdire ce type de pratiques : « L'informatique qui passe en dehors du radar de la DSI, le Shadow IT, est un vrai problème vis-à-vis du RGPD puisqu'il n'y a absolument aucun moyen d'éviter cela, sauf à mettre un policier derrière chaque agent. Le seul moyen pour nous de traiter cette question, c'est le règlement interne et interdire clairement ces comportements. » Pour sa part, Blandine Bellon privilégie des méthodes moins coercitives : « À titre personnel, je ne souhaite pas que cela fonctionne par interdictions, mais par une prise de conscience de la sensibilité de la donnée personnelle. Mes interlocuteurs sont des ingénieurs, des cadres qui ont déjà une forte culture de la protection de la donnée. L'échange et le dialogue avec les équipes est une approche qui fonctionne plutôt bien, car les équipes se posent systématiquement cette question relative à la donnée personnelle. »

Le salarié, lanceur d'alerte ?

secure
Shutterstock

Le salarié, futur lanceur d'alerte RGPD ?

Le nouveau règlement européen fait obligation aux entreprises de signaler toute violation des données personnelles à leur autorité de contrôle dans un délai maximum de 72 heures. Les RSSI qui ne l'auraient pas encore fait vont mettre en place des outils de détection d'intrusion, mais les collaborateurs peuvent dans certains cas déclencher l'alerte s'ils constatent une fuite de données. Il peut s'agir du vol d'un ordinateur portable contenant des données sensibles ou s'ils constatent des anomalies dans la sécurité des infrastructures informatiques de leur entreprise. Pour Cédric Cartau, il est difficile de demander au personnel médical de jouer les lanceurs d'alerte : « Le CHU de Nantes, c'est 12 000 agents, je n'ai pas la possibilité de contraindre ces agents de me signaler une fuite de données. J'ai peu d'inquiétude à pouvoir détecter une fuite de données rapidement, et ce n'est pas le sujet qui inquiète le plus les RSSI. Je dois passer par la hiérarchie afin d'éveiller le personnel à cette problématique, sachant que le personnel hospitalier reçoit ce type de consignes dix fois par jour, donc le RGPD n'en est qu'une de plus…. »

Si, pour les collaborateurs, le RGPD se matérialisera principalement par de nouvelles règles de bonne conduite à appliquer vis-à-vis des données personnelles, le nouveau règlement européen ne devrait pas se solder par des modifications au niveau de leurs contrats de travail, les clauses de confidentialité étant déjà fréquentes dans les CDD et CDI actuels.

Les données du salarié sont aussi couvertes par le RGPD

touche pas à ma data

keyss

Les données relatives aux collaborateurs étant des données personnelles comme les autres, celles-ci sont régies par le RGPD et un salarié bénéficie tout autant du droit d'accès à ses données personnelles qu'un client ou usager d'un service. Il peut, lui aussi, demander une rectification, voire l'effacement de ses données à son employeur. Sur ce plan, le RGPD ne change fondamentalement pas les choses par rapport à la      loi « Informatique et libertés » de 1978, comme l'explique Blandine Bellon : « Les salariés avaient déjà un droit de regard sur les données que possèdent sur eux leur entreprise. Par contre, si le droit de suppression imposé par le RGPD s'applique aussi, il ne pourra s'appliquer dans le domaine RH du fait des durées de conservation obligatoires sur les données de paye, par exemple. »

Pour Laurent Goutorbe, avocat au cabinet Haas Avocats, le RGPD va permettre aux salariés d'exercer ce droit d'accès à leurs données personnelles, droit qui leur était bien souvent refusé par la direction des ressources humaines. L'avocat souligne que ce droit d'accès pourra être exercé par des salariés pour mieux contrôler l'évolution de leur carrière, s'assurer qu'aucune appréciation subjective sur son caractère n'est mentionné. Un refus d'accès à ces informations donnera au collaborateur le droit de porter réclamation auprès d'une autorité de contrôle.

Le RGPD entrera en vigueur le 25 mai 2018 et s'il est un progrès significatif dans la protection des données personnelles des citoyens, des consommateurs et des salariés, il doit causer une vraie prise de conscience de l'intérêt à protéger cette donnée à tous les niveaux des entreprises.

Rédigé par Alain Clapaud
Journaliste