Maud Ayzac, senior manager People & Change et Claude Bodeau, associé People & Change au sein du cabinet Wavestone, analysent les conditions nécessaires à la confiance numérique au sein des entreprises.
Recrutement, formation, gestion des carrières, processus métiers… le digital crée de la valeur pour les DRH et les collaborateurs qui se concentrent sur des missions à plus forte valeur ajoutée.
Mais, pour digitaliser une activité, il faut une matière première : les données. Des données toujours plus nombreuses, parfois sensibles, voire personnelles. Ce qui soulève, pour les collaborateurs, une série de questions : quelles données sont collectées, pourquoi, pour combien de temps ? Comment seront-elles exploitées, et surtout protégées ? Une nouvelle responsabilité émerge donc pour l’entreprise : construire, et faire vivre dans la durée, la confiance numérique entre elle et ses collaborateurs. Sans cette confiance, aucune vraie transformation numérique ne peut avoir lieu.
La confiance numérique : trois piliers pour la construire
Alors, comment créer cette confiance, et en faire une réalité quotidienne ? D’abord, elle doit reposer sur des bases techniques : protocoles sécurisés de transfert ou chiffrement de données deviennent des minimum requis. Tout autant que la pratique régulière de tests, pour s’assurer que ces « cyber-barrières » résistent aux attaques… sans oublier de communiquer sur les résultats de ces tests.
Mais la confiance, par nature, ne repose pas que sur des considérations techniques : il s’agit aussi, et surtout, d’une affaire humaine. Et c’est pour cela qu’elle doit devenir, avant tout, un enjeu pour la DRH. Détentrice de toutes les données à caractère personnel, c’est elle qui doit se porter garante de leur protection et de leur conformité à la loi. A elle de mettre en place, avec la DSI, les règles de sécurité adaptées à chaque type de donnée : par exemple, en confiant à un hébergeur agréé toutes les informations relatives à la santé des collaborateurs. Ou encore, en établissant un process bien défini (et appliqué !) de destruction de données personnelles lorsqu’un salarié quitte l’entreprise.
Troisième pilier indispensable de cette confiance : une gouvernance claire et lisible, fondée sur des principes forts. Par exemple, la finalité du traitement des données, qui doit être licite, légitime, et limitée au strict nécessaire. Ainsi, pour éditer des badges d’accès à l’entreprise, seules les informations sur l’identité et les heures d’accès seront requises. Autre point déterminant : la transparence… et surtout la réalité de son application. En théorie, tout collaborateur dispose d’un droit d’accès, de rectification et d’opposition au traitement de ses données. En pratique, peu d’entreprises élaborent les procédures d’exercice de ce droit. Qui, du coup, n’est guère utilisé !
La DRH, acteur-clé sur le terrain
Là encore, la DRH doit jouer un rôle central : en élaborant des documents de référence, d’abord, mais aussi en s’impliquant dans la mise en œuvre de ces règles par tous. Il s’agit alors d’un travail de terrain, et souvent de longue haleine : informer régulièrement les collaborateurs sur les différents risques (phishing, attaques via des clés USB…) ou rappeler les règles d’or (confidentialité des mots de passe, protection des informations sensibles …) : autant de messages à relayer, en évitant l’écueil de la lassitude des salariés, qui peuvent, avec le temps, ne plus appliquer à la lettre ces règles jugées contraignantes, voire superflues… tant qu’aucune attaque n’a eu lieu ! Pour entretenir la vigilance, les DRH doivent proposer des campagnes de mobilisation périodiques, utilisant par exemple des outils interactifs: quiz en ligne, vidéos, e-learning… et en faisant jouer aux managers leurs rôle de relai de ces messages auprès de leurs équipes. Certaines populations-cibles doivent bénéficier d’une formation complémentaire : les équipes RH et SI doivent être sensibilisées, notamment, au règlement européen du 27 avril 2016. Il impose l’intégration de la protection de la vie privée dès la construction du traitement de données, l’obligation de s’outiller en documentant les règles de sécurité, et la désignation d’un délégué à la protection des données.
Le rôle de la DRH, finalement, est de faire de la confiance numérique l’affaire de tous. Il n’en va pas seulement de la performance de l’entreprise : il s’agit aussi d’un formidable vecteur d’engagement, individuel et collectif. Recevoir une communication transparente et explicite, savoir qu’il évolue dans un environnement soucieux de ses droits numériques, incite chaque collaborateur à se responsabiliser. Composante essentielle de l’image de l’entreprise – de sa e-reputation notamment – la confiance numérique est aussi l’occasion, pour la DRH, de placer son action au cœur des enjeux stratégiques de l’entreprise. D’autant que le mouvement ne fait que commencer : plusieurs processus RH tel que le recrutement et la gestion des talents ont commencé leur révolution digitale. De nouvelles avancées qui ne pourront s’imposer que dans un climat de confiance déjà bien établi.
Nous remercions ActuEL RH, Journal en ligne des Editions Législatives, pour la diffusion de cet article, que vous pouvez retrouver sur leur site ou leur compte Twitter.