Le RGPD comme nouvelle arme dans l’arsenal RH
Le compte à rebours s’accélère. Le 25 mai 2018 marquera l’entrée en vigueur du Règlement Général sur la Protection des Données ou RGPD sur l’ensemble du territoire européen. En France, le texte vient d’être récemment retranscrit au niveau national à travers son adoption par l’Assemblée Nationale, remplaçant donc officiellement la loi informatiques et liberté de 1978, qui avait été elle-même modifiée par la directive européenne de 1995. La précocité de la France en matière de données personnelles remonte effectivement à cette première loi LIL en 78, poussée à la fois par l’évolution technologique -l’informatique prenait peu à peu le pas sur la mécanographie- et par la préoccupation éthique qui prenait de plus en plus d’ampleur.
À quels enjeux répond ce nouveau Règlement européen ?
Au-delà de la visée symbolique d’apporter une nouvelle disposition commune aux 28 pays de l’Union Européenne, le Règlement se veut avant tout une réponse aux mutations technologiques, sociétales et de marché, induites et exacerbées par l’économie numérique. Tout d’abord, cette rupture technologique, prégnante aujourd’hui à travers la pléthore de techniques utilisées pour nous proposer quotidiennement des biens et services (téléphones, internet, objets connectés, etc.) et pour lesquelles de nombreuses données personnelles nous sont demandées. D’un point de vue sociétal, les nouvelles ways of working caractérisées par les digital workplace, l’hyper-connectivité, le travail à distance ou encore l’exigence de réactivité, participent également à la collecte et au traitement massif de données personnelles, appelant de fait à plus de sécurité. Enfin, le marché actuel est dominé par des entreprises évoluant dans le secteur du numérique -les fameux GAFA[1] ou encore NATU[2]-, qui obéissent à des impératifs business basés principalement sur l’exploitation systématique de données personnelles.
Toutes ces mutations concourent donc à accroître le nombre d’enjeux liés à la protection des données personnelles, enjeux pour lesquels le législateur européen a défini de nouvelles dispositions afin de :
/ Rendre aux citoyens le contrôle de leurs données personnelles en créant un cadre rendant le traitement de leurs données licite, loyal et transparent ;
/ Créer un niveau élevé et uniforme de protection des données à travers l’Union Européenne ;
/ Définir un cadre juridique adapté à l’ère numérique.
In fine, le nouveau Règlement entend ainsi redonner confiance à cette économie numérique en renforçant les droits de protection des données personnelles à travers une responsabilisation de chacun des acteurs intervenant dans le traitement de données, le tout assuré par un durcissement significatif des sanctions à l’égard de tout manquement.
Quel vent nouveau insuffle-t-il ?
Le RGPD fait passer les entreprises d’une logique déclarative à une logique de responsabilisation, ce fameux concept d’accountability, dont les traductions françaises peinent à en révéler toute la portée. Prévaudra désormais l’obligation de « rendre compte », consacrée dans le Règlement comme « la capacité à démontrer que le traitement de données à caractère personnel est effectué dans le respect ». Dès lors, ce nouveau paradigme impose :
/ De la transparence ;
/ De la traçabilité ;
/ De la collaboration avec les autorités de contrôle.
Applicable à toutes les organisations (entreprise et organisme publique) qui traitent des données personnelles de résidents ou citoyens européens, le RGPD consacre donc davantage de droits aux personnes concernées par le traitement de leurs données ainsi que des nouvelles obligations ou améliorations de mesures existantes pour les organisations. Toute personne concernée pourra ainsi exercer l’un des nombreux droits que lui confère le Règlement parmi lesquels le droit à l’oubli, le droit d’accès à l’ensemble de ses données, le droit à la portabilité ou encore le droit de s’opposer au traitement de ses données personnelles. Côté organisation, la liste des impératifs s’allonge avec, entre autres, la tenue obligatoire d’un registre des traitements, la nomination dans certains cas d’un Délégué à la Protection des Données, plus communément appelé DPO pour Data Privacy Officer, ou encore la réalisation d’études d’impacts sur la vie privée.
Pourquoi est-il une opportunité pour les départements RH des entreprises ?
L’application des nouvelles exigences du RGPD permet à l’entreprise d’être un acteur social, à la fois en externe vis-à-vis de ses clients mais aussi et surtout en interne vis-à-vis de ses collaborateurs.
À ce titre, le Règlement présente plusieurs opportunités pour la fonction RH :
/ La rationalisation des traitements, des processus et outils propres aux départements RH : la fonction RH collectant des données personnelles tout au long de la vie du collaborateur en entreprise, il convient d’en optimiser le traitement à travers une cartographie complète, rationnalisée et proportionnée des données collectées et traitées. Cette rationalisation a pour but d’adresser les principes avancés par le Règlement de minimisation -la collecte de données se limite à ce qui est strictement nécessaire- et de proportionnalité -une donnée est collectée au regard d’une finalité spécifique ;
/ Le développement de la marque employeur : une entreprise prônant le respect des données personnelles et ayant une approche proactive en la matière (publicité, campagne de sensibilisation externe) attirera sinon davantage de candidatures du moins récoltera une excellente image en externe comme en interne avec potentiellement un engagement plus fort de ses collaborateurs. Ce renforcement de l’engagement sera obtenu à la fois par le fait d’apparaître comme étant une organisation qui œuvre pour le respect de la vie privée et par l’implication des collaborateurs dans la mise en conformité des organisations au sein desquelles ils évoluent ;
/ L’augmentation du niveau d’acculturation à la protection des données : l’un des axes de mise en conformité le plus important prôné par le Règlement passe par l’apanage des départements RH que sont la sensibilisation et la formation. La fonction RH prend alors tout son sens quand il est question de sensibiliser et de former ses collaborateurs en matière de protection des données personnelles -l’arc de formations RH se pare ainsi d’une nouvelle flèche.
Il en découle que le RGPD ne doit pas uniquement s’appréhender à travers le prisme « Conformité » dans le seul but de réduire les risques de sanction financière et d’image. Celui-ci peut et doit être perçu comme une formidable opportunité pour les départements RH, et plus généralement pour les entreprises, pour remettre leurs collaborateurs au cœur même de leur démarche de compliance. Face à la surabondance d’obligations de mise en conformité exigées aux entreprises, les départements RH peuvent s’accaparer la tâche gratifiante de faire de ces obligations, un axe de différenciation majeur. D’autant plus qu’une partie non négligeable de la population active est encline aux actions éthiques. En ce sens, une étude conduite par la plateforme E-RSE démontra que les jeunes de la génération Y sont 79% à placer la Responsabilité Sociétale des Entreprises comme critère de recherche d’emploi, et 76% à placer cette RSE au-dessus du salaire dans leurs critères.
Quel est l’apport de Wavestone sur le sujet ?
La practice People & Change de Wavestone accompagne les départements RH d’organisations variées sur des sujets de mise en conformité RGPD. Grâce à une combinaison de savoir-faire fonctionnel en Ressources Humaines et technique en Cybersécurité, l’équipe de 150 consultants est à même de vous guider dans cette marche vers la conformité, de la réflexion en amont jusqu’à la mise en œuvre opérationnelle.
Outre les programmes de mise en conformité général sur le RGPD que nous conduisons pour nos clients, notre expertise sur le couple RGPD-RH s’articule autour de deux volets d’intervention :
/ La conduite du changement : nous mettons en place et favorisons, au sein des organisations, un climat d’acculturation sur la notion de Privacy en prônant une véritable culture autour de la protection des données personnelles. L’implication des collaborateurs étant, selon nous, la pierre angulaire de toute démarche de compliance. Celle acculturation comprend une phase de cadrage et de définition, de réalisation et de production suivie d’une phase de déploiement de la campagne ;
/ L’accompagnement métier : nous guidons également les fonctions RH dans les différentes prérogatives requises par le RGPD parmi lesquelles la cartographie des traitements RH, les analyses d’impacts et analyses d’écarts sur les processus RH ou encore la politique d’exercice des droits. Nous avons en effet constaté qu’à l’aune du temps imparti, bon nombre d’entreprises faisait le choix de concentrer leurs efforts sur les seules données clients, dépriorisant de facto la mise en conformité des données collaborateurs, pour lesquelles nous mettons, chez Wavestone, un point d’honneur à adresser.
L’ampleur des travaux liée à cette nouvelle législation peut faire pâlir mais la date du 25 mai 2018 n’est pas un couperet. La mise en conformité des entreprises devra se conjuguer sur un temps long, afin de garantir une application à la fois fluide et pérenne des principes du Règlement. Ce qui est indéniable, c’est que les départements RH doivent d’ores et déjà, si ce n’est déjà le cas, empoigner une partie du sujet afin d’en extraire toutes les retombées positives. Elles doivent, en outre, considérer le RGPD comme une arme supplémentaire dans leur arsenal méthodologique pour faire notamment de l’éthique, un moyen de réenchanter leurs collaborateurs.
[1] GAFA pour Google, Apple, Facebook, Amazon
[2] NATU pour Netflix, Airbnb, Tesla Motors, Uber