Mise en conformité vs craintes des entreprises : le 25 mai prochain la RGPD sera une réalité
A l'ère du Big Data et de la « révolution digitale » qui viennent transformer progressivement le monde des RH, le règlement UE 2016/679 du Parlement Européen et du conseil du 27 avril 2016 vise à réguler l'exploitation des données personnelles dans le cadre de l'entreprise.
Le Règlement UE 2016/679 du Parlement Européen et du conseil du 27 avril 2016 entrera en application le 25 mai 2018. Ce texte a pour vocation d'adapter le droit aux nouvelles réalités numériques, notamment concernant la protection des données personnelles, qui sont aujourd'hui devenues une ressource clé d'une valeur inestimable pour l'économie mondiale, et une manne commerciale des plus importantes. Le SIRH est le système réunissant le plus de données personnelles et il est porté par la généralisation du mode SaaS qui ouvre la porte à de nouvelles zones de risque.
- 50% des entreprises pensent ne pas être prêtes à temps.
- 21% redoutent des licenciements à cause des pénalités.
- 18% craignent même la faillite en cas de sanction.
Trois objectifs clés
A l'échelle européenne, le règlement permet d'unifier les règles au sein de l'ensemble des pays membres. Cette règlementation poursuit un triple objectif :
- renforcer le droit des personnes quant à leurs données personnelles,
- responsabiliser les acteurs utilisant ces données,
- crédibiliser la régulation grâce à une coopération de protection des données renforcée entre les autorités.
Le texte adopté est un règlement européen, ce qui signifie que, contrairement à une directive, il est directement applicable dans l'ensemble de l'Union sans nécessiter de transposition dans les différents États membres. Le même texte s'appliquera donc dans toute l'union européenne.
Conséquences du règlement sur les SIRH
De nombreuses formalités auprès de la CNIL vont disparaître, il n'y aura notamment plus de déclaration ou de demandes d'autorisation préalable à la mise en place de traitements de données à caractère personnel. En contrepartie, la responsabilité des organismes sera renforcée, comme les éventuelles sanctions.
Le texte introduit :
- la notion de conformité afin d'assurer une protection optimale des données personnelles que les systèmes traitent de manière continue. Les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et être en capacité de démontrer cette conformité à tout moment (accountability).
- le droit à la portabilité des données: ce nouveau droit permet à une personne de récupérer les données qu'elle a fournies, sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Concrètement les données personnelles ne devraient plus pouvoir être exploitée sans le consentement des personnes.
- Le droit à l'effacement (à l'oubli): L'article 17 renforcé par plusieurs disposition du RGPD consacre le droit à l'oubli afin que les personnes ne voient pas leur vie entravée par le rappel omniprésent de leur passé, phénomène démultiplié par les environnements numériques. Ce droit à l'oubli est toutefois conditionné à un certain nombre de motifs énumérés par l'article, par exemple au fait que les données à caractère personnel ne soient plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
- La protection des données doit être une préoccupation dès la conception des outils et par défaut (privacy by design), il est opportun désormais d'intégrer cette approche dans les projets SIRH.
- Sous-traitance des données : d'après IDC, de nombreuses sociétés vont décider d'externaliser le traitement des données RH afin de limiter leurs risques et de respecter leurs obligations de conformité. Or, les sanctions étant désormais partagées, le sous-traitant pourra être contrôlé et sanctionné au même titre que l'est aujourd'hui le responsable de traitement. Toutefois, les parties peuvent conclure un contrat correspondant mieux au réel partage de responsabilités.
Si le sous-traitant est situé dans un pays non membre de l'Union, l'article 27 du règlement prévoit qu'un représentant de celui-ci devra être désigné, ce représentant devant résider dans l'état membre où se situent les données à caractères personnelles faisant l'objet d'un traitement. Le représentant est mandaté par le sous-traitant pour être la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s'adresser, en plus ou à la place du sous-traitant, pour toutes les questions relatives au traitement, aux fins d'assurer le respect du règlement.
Les craintes des entreprises : 21% redoutent des licenciements à cause des pénalités; 18% craignent même la faillite
D'après une enquête menée par le cabinet Vanson Bourne pour Veritas Technologies auprès de 900 entreprises de plus de 1.000 employés en Europe, aux Etats-Unis et en Asie, 50% des entreprises ne pensent pas être prêtes pour la mise en oeuvre des modalités du règlement dans les délais impartis.
La mise en place de ce règlement inquiète les entreprises : Inquiétudes relatives au coût du projet de mise en conformité lui-même, qui, selon Veritas, s'élèverait en moyenne à 1,3 million d'euros par projet ; mais surtout, des conséquences à court terme en cas de non-conformité. Le texte prévoit en effet de très lourdes amendes pour les contrevenants : 20 millions d'euros ou 4 % du chiffre d'affaires annuel de l'entreprise.
D'après l'étude, 21% des entreprises redoutent que les pénalités n'entrainent des licenciements, 18% craignent la faillite en cas de sanction et 31% une publicité négative qui impliquerait leur marque.
Toutefois, cette crainte n'est pas la même pour tous les secteurs d'activités. Certains, comme le secteur bancaire ou celui de l'assurance sont déjà tenus par des lois de sécurité informatique strictes, notamment Bâle 2. D'autres n'ont pas cette culture de sécurité des systèmes d'informations et se trouvent moins préparés. L'étude montre que 39% des entreprises interrogées ne s'estiment pas en mesure de localiser les données en leur possession.
Ce règlement s'impose à tous, mais pourrait ne pas avoir les mêmes conséquences selon les secteurs d'activité. La crainte que ce règlement inspire montre toutefois bien qu'il est temps de cartographier sérieusement les données intégrées dans les systèmes d'informations et qu'une réelle démarche reste à enclencher !
Aurore Rimbod, consultante SIRH - mc2i Group
Sur le même thème
Voir tous les articles Cybersécurité