Interview de Claude Cadario,
Consultant RGPD et Risk management,
Dirigeant Cx4
https://fr.linkedin.com/in/claudecadario
Bonjour Claude,
Pourquoi la fonction RH est l’un des acteurs clés dans la conformité RGPD ?
Les services RH sont déjà les plus concernés puisqu’ils mettent en œuvre environ 3/5 des traitements de données de l’entreprise. Parallèlement, ils agissent de façon habituelle dans une logique légale et réglementaire. De fait, ils comprennent mieux que quiconque le périmètre et les enjeux de ce règlement.
Finalement, en quoi le RGPD impacte-t’il l’entreprise ?
Le règlement pose plusieurs exigences telles que :
– la nécessité d’auto-déclarer tous les traitements de données dans un registre spécial, et ce après avoir vérifié qu’ils étaient en conformité par rapport au règlement et aux directives de l’autorité de contrôle ;
– la mise en œuvre de mesures techniques et organisationnelles pour répondre aux obligations de sécurité, d’information, de réponse aux droits des personnes, de contractualisation avec les sous-traitants, etc.
La liste est assez longue. Pour faire court, on peut dire que ces exigences s’ordonnent dans un management continu de douze processus. Il est vivement conseillé d’en réaliser un bilan annuel.
Quels sont les risques en cas de non-conformité ?
Les sanctions sont lourdes et, plus encore, rendues publiques. Ça n’aide pas en termes d’image… Certains patrons prennent le risque de ne pas s’impliquer dans la compliance. C’est une option, cependant l’entreprise peut brusquement entrer dans les radars de l’autorité de contrôle à la suite d’une simple plainte émanant d’un collaborateur ou d’un client, sans oublier la mise en évidence d’une violation de données souvent associée à un ransomware. Parallèlement, un site internet présentant des déficits en termes de mentions d’information ou d’usage des cookies est également un bon moyen pour se faire repérer.
Malgré tout, je ne suis pas très partisan de ces discours anxiogènes qui ont passablement détourné le vrai débat. La conformité RGPD se construit sur de bonnes pratiques, notamment sécurité, organisation, confiance et, à ce titre, entraîne des effets positifs mesurables. Les entreprises le disent :
– 90 % notent des améliorations en termes de sécurité, d’organisation et d’IT ;
– 82 % évoquent une augmentation de la confiance clients et de l’image de marque
– 92 % constatent un avantage concurrentiel
Pour moi, et c’est sans doute l’un des points les plus intéressants, je constate les effets positifs dans les relations avec le personnel, notamment avec le CSE qui prend acte de la clarification de certaines pratiques. Cela évite parfois de se retrouver aux tribunaux.
En matière de ressources humaines, quels types de traitements sont concernés ?
Dans mes audits, j’identifie entre 25 et 30 traitements de données, avec une bonne quinzaine de sous-finalités. Ces traitements concernent principalement les opérations de recrutement, la gestion générale des salariés dans leurs divers statuts, les temps de travail & congés, l’élaboration de la rémunération, les DSN, les bases de données économiques et sociales, le suivi médical, la formation, les annuaires internes, etc. Les services RH sont vraiment au cœur des données personnelles.
En quoi le rôle des RH est déterminant ?
Comme nous l’avons évoqué précédemment, les RH sont des acteurs clés dans la conformité. Je constate que lorsque le DRH parle, les directions écoutent : c’est un fait. Par expérience, je sais qu’ils ont cette capacité à faire rentrer dans le périmètre certaines brebis égarées : service commercial et contrôle de gestion, notamment, pour ne pas les citer. Sans les RH en appui, la conformité n’ira pas à son terme. En tant que consultant externe, ce sont mes interlocuteurs privilégiés et sans eux, il m’est difficile de bien avancer.
Que proposes-tu en matière d’accompagnement ?
Je propose trois types de prestations :
1°) de la formation, en désacralisant ce règlement réputé volumineux et complexe : Ressources humaines et protection des données ; Le système de management de la protection des données
2°) un audit d’état des lieux : réalisé en 4 journées, il associe formation, 4 évaluations spécifiques et la mise en place de bonnes pratiques, notamment le socle de documentation. In fine je rédige un rapport d’une vingtaine de pages clos par la proposition d’une stratégie et d’un tableau de bord. C’est une base solide, probante, qui me semble essentielle pour bien démarrer.
3°) un accompagnement opérationnel à la carte avec, le cas échéant, la possibilité d’externaliser la fonction de délégué à la protection des données.
Vous souhaitez échanger sur cet article, rien de plus simple !
Par Peps Compétence
Vous avez un projet, contactez-nous, nous l’étudierons ensemble !
