L’Europe souhaite reconquérir sa souveraineté numérique. Mais face à la puissance des GAFA, le combat est-il perdu d’avance ?
Pour faire prendre conscience aux utilisateurs de l’exploitation de leurs données personnelles offertes aux services marketing et commerciaux des GAFA via des «outils gratuits» (quand c’est gratuit, c’est vous le produit…), l’Europe a finement répliqué… par la voie législative.
En imposant aux responsables de traitement et aux sous-traitants d’être explicites sur la nature des données manipulées et le détail des traitements, le RGPD a eu un effet révélateur sur l’exploitation «non connue» des données personnelles, puis un effet d’encadrement de ces traitements. Dans certains cas, la conséquence a été le rapatriement de certains services en Europe, surtout après la révocation du privacy shield.
Voilà plus de deux ans que les entreprises se mettent en conformité avec le RGPD, un chantier aussi vaste que chronophage, surtout pour les services administratifs et RH qui collectent, traitent et archivent d’importants volumes de données personnelles.
Mais qu’il s’agisse des RH, du service marketing ou de tout autre département, le RGPD vise avant tout à protéger les citoyens de l’Union Européenne du vol ou du piratage de données, ainsi que des usurpations d’identité potentielles.
La tâche est ardue et le chemin pour y parvenir semé d’embûches tant les contours juridiques sont flous et sujets à interprétation. Il est pourtant indispensable de se conformer à ce règlement au vu du montant des pénalités encourues : jusqu'à 20 millions d'euros, ou jusqu'à 4 % du chiffre d'affaires annuel.
Selon une étude du cabinet d'avocats DLA Piper publiée en janvier 2020, plus de 114 millions d'euros d'amendes ont été infligés depuis la promulgation de la loi, et 160 000 plaintes pour violation de la législation européenne y sont recensées. La France figure d’ailleurs parmi les pays qui infligent les sanctions les plus lourdes avec 50 millions en une seule amende envoyée à Google.
En tant que DRH, vous utilisez des solutions dans lesquelles sont stockées les données personnelles des salariés. Le volume de ces données est particulièrement conséquent :
Par conséquent, il est absolument nécessaire d’auditer à la fois les méthodes de gestion, de conservation, de sécurisation et d’accès à ces données.
En effet, au cours de sa carrière dans l’entreprise, le salarié vous confie ses données personnelles, lesquelles sont nécessaires à la bonne gestion de sa “vie” administrative et de son développement professionnel. Toutes ces données stockées dans le SIRH impliquent un devoir de confidentialité et de sécurité, ainsi qu'un contrôle et des droits d’accès.
La collecte et l’archivage de données personnelles commencent d'ailleurs dès le recrutement : échanges d’informations avec les cabinets de chasse ou les agences de recrutement, saisie des informations dans le logiciel ATS (voire dans le CRM de l'entreprise), etc. Et ces données doivent pouvoir être supprimées sur simple demande de la personne ou à échéance (durée légale de conservation de deux ans si cette dernière a été informée).
Enfin, au-delà des processus, une attention particulière doit être portée au traitement des données dès lors que sont utilisés des outils de datavisualisation, de business intelligence, de reporting et d’analyse.
De nombreux logiciels proposent de personnaliser les bases de données. Donc rien ne vous empêche, en théorie, de stocker n’importe quel type de data, même celle dite sensible selon la définition du RGPD.
Mais rappelons-le, vos salariés ont des droits sur ces données. En tant que responsable de traitement, il vous incombe de leur permettre de les exercer :
Les éditeurs de logiciels RH sont considérés comme des sous-traitants (le client étant responsable de traitement). À ce titre, ils doivent respecter les prérogatives du RGPD et vous en apporter la garantie.
Vous êtes à la recherche d’une solution parfaitement conforme ?
Pour vous assurer de la compliance d’un outil, vous êtes en droit d’exiger du fournisseur que :
Votre DPO doit vous fournir un registre des traitements dans lequel vous devez recenser l’ensemble des traitements analysés pour vos besoins métiers. Si vous en externalisez une partie, vérifiez que les sous-traitants adoptent des pratiques conformes au RGPD.
Diplômé de l'École Nationale des Arts et Métiers Paris Tech, Bruno Catteau est un passionné d'informatique, toujours à la pointe de l'actualité.
Il a rejoint Lucca dès le début de l'aventure en 2003. Devenu associé, il en est aujourd'hui le CTO.
![[Cloud Week] Le village start-up](https://www.datocms-assets.com/17507/1606823922-village-stratup-cloud-week-2017.jpg?fit=max&fm=webp&q=60&w=227)
