A partir du 25 mai 2018, le RGPD, la nouvelle législation européenne sur la protection de la vie privée, s’appliquera à toutes les entreprises. Même si cette disposition évoque en premier lieu les domaines de l’informatique et du marketing, les RH sont aussi concernés. Ces sept conseils vous mettront sur la bonne voie.
1 – faites l’inventaire de vos données.
Toutes les données détenues par l’entreprise devront être listées. L’endroit où celles-ci sont conservées, la méthode et l’objectif de la collecte des données devront être précisés par écrit. L’attention des RH devra surtout être tournée vers les données relatives au personnel (ancien et actuel), aux candidats, aux fournisseurs, étudiants, stagiaires, etc.
2 – vous pouvez toujours traiter les données.
Sans données personnelles, il est impossible de verser les salaires et d’être en règle concernant la sécurité sociale. Pour pouvoir utiliser leurs données, il n’est pas toujours nécessaire de demander le consentement des personnes concernées. Le RGPD permet aux entreprises de traiter les données quand c’est nécessaire, par exemple dans le cadre d’un contrat de travail.
3 – veillez à pouvoir justifier vos pratiques.
Le RGPD repose sur le principe de justification: il faut savoir justifier la manière dont ces données sont gérées. Vous devez être certain de donner une explication acceptable sur ce que vous faites de ces données et dans quel but.
4 – formez vos collaborateurs.
Incitez vos collaborateurs à être vigilant sur la gestion des mots de passe. Apprenez-leur l’importance de la vie privée des personnes dont ils gèrent les données. Mettez en place une procédure à suivre en cas de problème. Pensez à former vos collaborateurs sur la protection des données, surtout ceux qui traitent des informations sensibles.
5 – échangez avec vos partenaires et fournisseurs.
Les données dont vous disposez ne restent pas uniquement au sein de votre entreprise : elles sont stockées puis envoyées à vos prestataires de services par exemple. Listez les partenaires avec lesquels vous travaillez et vérifier leurs accès aux données. Veillez également à ce que les contrats conclus avec ces partenaires comportent les dispositions adéquates en matière de protection des données.
6 – désignez un responsable.
Il n’est pas obligatoire pour toutes les entreprises de désigner un Data Protection Officer, mais il serait préférable de nommer quelqu’un responsable de la protection des données. Cette personne aura pour rôle de tenir le registre à jour, de vérifier que la législation soit respectée d’informer et de conseiller l’entreprise sur les réglementations en matière de vie privée.
7 – ne soyez pas effrayé.
Le non-respect des obligations du RGPD peut déboucher sur des amendes élevées : 20 millions d’euros ou 4% du chiffre d’affaires mondial. Cependant, selon l’actuel président de la Commission à la vie privée, des contrôles stricts ne devraient pas être mis en place dès le 25 mai.
Chaque entreprise est responsable de la protection de ses données, alors ne négligez pas cette nouvelle législation car les citoyens engagés n’hésiteront pas à faire valoir leur droits à travers le RGPD.