RGPD : et si l
François Gueuze

By: François Gueuze on April 26th, 2018

Print/Save as PDF

RGPD : et si l'enjeu pour l’entreprise était celui de la confiance ?

Actualités RH  |  Interviews / Tribunes

Est. Read Time: 3 min.

La mise en œuvre du RGPD est souvent décriée. À entendre certains, on assisterait à un big-bang, à une révolution copernicienne de la protection des données, voire à un « cadenassage » des données qui tuerait (rien que cela) l’initiative et ouvrirait grande notre économie aux GAFA et autres BATX qui n’y seraient pas contraints. Loin de ces cassandres, il faut bien convenir que le sujet agite fortement le monde de l’entreprise. Passage en revue des enjeux visibles et moins visibles de la mesure.Même si beaucoup semblent l’oublier, rappelons qu’en matière de gestion et de protection des données personnelles la loi informatique et liberté encadre déjà, depuis de nombreuses années, ce qu’il est possible de faire. De ce point de vue, le RGPD ressemble moins à une révolution qu’à une évolution.

🌟 Intéressés par le sujet ? Nous avons créé un MOOC RGPD pour RH, une formation de 5 semaines pour assurer la conformité réglementaire de votre organisation.

Je m'inscris

Les trois évolutions majeures portées par le RGPD

Premier point à retenir de cette évolution : nous disposons enfin d’un cadre général de protection des données personnelles, d’un socle commun entre plusieurs états. Au-delà de la phase d’harmonisation, cela devrait faciliter la mise en œuvre de solutions transnationales.

Le second point d’intérêt de la mesure est qu’elle amène une meilleure lisibilité des dispositifs. En effet, si l’on se focalise sur un champ de l’entreprise que je connais bien, celui des ressources humaines, la quasi-totalité des DRH respectait les directives de la CNIL concernant le recueil et la conservation des données du personnel. La qualité du recueil et de la gestion des données des candidats était, il est vrai, un peu moins bien gérée, notamment en termes de délais de conservation des données.

Ce qui pouvait poser problème vis-à-vis de la réglementation était jusqu’ici moins le recueil et le stockage des données que la lisibilité du système, la transparence des traitements et de leur finalité. La mise en œuvre du RGPD devrait nous conduire à disposer d’une véritable cartographie des données et des traitements mis en œuvre, pour être en capacité de répondre aux demandes de vérification de la conformité de nos fonctionnements.

Le troisième point notable réside dans l’obligation qu’auront les organisations de recueillir le consentement préalable des personnes pour les traitements de données les concernant. Ce dernier point montre bien qu’il est à prévoir quelques spécificités pour les candidats et prestataires de services (travaillant en régie par exemple).

Une mise en pratique parfois complexe

Sans énumérer toutes les obligations liées RGPD, évoquons certains points concrets de sa mise en pratique par les DRH.

En ce qui concerne les candidats, il conviendra de clarifier le recueil du consentement (art 7), de respecter les impératifs de transparence et de loyauté (art 5-6), tout en les informant sur la manière d’exercer leurs droits (art 12 et 23) en permettant l’accès (art 15), la rectification (Art 16), le droit à l’oubli (art 17), la suspension du traitement des informations (art 18), le transfert des données ou portabilité (art 20), le droit d’opposition (art 21)... Sans oublier le refus d’une décision automatique (art 22), qui pourrait placer nombre de solutions de recrutement du marché en difficulté ; une décision de rejet d’une candidature automatique sur la base d’un questionnaire préalable sans intervention humaine serait, par exemple, en contradiction avec l’article 22.

Ces points seront également à examiner vis-à-vis des collaborateurs d’autres entreprises réalisant des prestations, et qui auraient par exemple un badge d’accès ou sur lesquels l’entreprise aurait connaissance d’informations à caractère personnel.

Pour les collaborateurs permanents, quel que soit leur statut, il conviendra d’assurer la conformité des informations (ce qui ne devrait pas poser de problème), mais aussi celle des traitements existants. Ceci suppose d’intégrer en amont, dans la conception des solutions, une logique de preuve de la conformité pour les nouveaux traitements. L’article 30 demande à ce qu’un registre soit tenu à jour.

La désignation d’un délégué à la protection des données (ou DPO, art 37-39) constitue également un point de vigilance. Son rôle est celui d’un « protecteur » aux responsabilités nombreuses. Il lui faut notamment réaliser des études d’impact sur la vie privée avec une analyse des risques (art 35), participer au développement des traitements et à leur mise en œuvre en s’assurant qu’il n’y a pas d’altération, lutter contre les risques de vol ou de fuites de données...

Une responsabilité accrue de l’entreprise

De façon plus globale, le RGPD accroit la responsabilité de l’entreprise. À titre d’exemple, le simple choix d’un prestataire – organisme de formation, éditeur de SIRH – suppose de vérifier que ce dernier répond aux exigences du RGPD et que les traitements de données seront neutres et appropriés. L’entreprise va devoir se prémunir d'un certain nombre d’éléments de preuve des engagements du prestataire. On peut ainsi présumer que des certifications au RGPD vont bientôt apparaître.

Prenons un peu de hauteur. Le véritable enjeu de la question du RGPD n’est-il pas celui de la confiance ? Nul n’ignore désormais que l’usage d’Internet implique de laisser derrière soi des données qui sont traitées, revendues, alimentent des fichiers. La société du digital n’est pas pour l’heure celle de la confiance, mais de la méfiance ! Dans le domaine des RH, les DRH ont à leur disposition tout un ensemble d’informations sensibles, surtout lorsqu’on les croise entre elles. C’est tout le problème du big data : les gens s’inquiètent de ce que l’on sait sur eux et de la façon dont on l’utilise.

On voit ainsi de plus en plus souvent, en entreprise, des personnes réticentes à donner des informations qui sont pourtant nécessaires au fonctionnement de la DRH. Que se passera-t-il, par exemple, lorsque le prélèvement à la source entrera en vigueur ? L’employeur va connaître les revenus du collaborateur et ceux de son conjoint : cela ne risque-t-il pas d’avoir une influence sur certaines décisions, par exemple en ce qui concerne les augmentations ? La question majeure que se posent les partenaires sociaux et les collaborateurs, c’est : comment va-t-on nous protéger ?

L’entreprise va devoir prendre un certain nombre d’engagements, comme celui de ne pas corréler les informations relatives au prélèvement à la source aux informations permettant de travailler. Pratiquement, dans un outil d’évaluation permettant l’identification des personnes susceptibles d’obtenir une augmentation, le processus de choix ne devra pas donner accès à un document sur les revenus des personnes.

Avec la loi Informatique et libertés, la CNIL se posait déjà la question de l’usage des données : celle-ci n’est donc pas neuve. La question du RGPD est, au bout du compte, celle de la preuve. C’est au travers de la preuve, de la transparence des algorithmes – ce qui va poser problème pour les systèmes à base de machine-learning – que tout va se jouer. C’est la mort annoncée d’un certain nombre d’applications développées de façon agile, dont les algorithmes ne sont pas lisibles. À titre d’exemple, la plateforme d’inscription des lycéens dans le supérieur APB (aujourd’hui remplacée par Parcoursup) ne passerait pas au filtre du RGPD.

En conclusion

Si la compliance RGPD est une chose, la confiance que l’entreprise est capable de susciter chez ses collaborateurs en est une autre, qui représente un enjeu beaucoup plus majeur. Les entreprises, et plus particulièrement les DRH, doivent saisir le problème à bras-le-corps, sans se limiter à la seule question de la conformité. À elles de voir si elles veulent mettre à profit l’opportunité offerte par le RGPD pour s’interroger sur la façon de construire une relation de confiance durable avec leurs collaborateurs. 

🌟 Intéressés par le sujet ? Nous avons créé un MOOC  RGPD pour RH, une formation de 5 semaines pour assurer la conformité réglementaire de votre organisation. 

Je m'inscris

About François Gueuze

Diplômé du Master MRH de Lille (91), membre de l'équipe de direction de ce Master jusqu'en 2016 et fort d'une expérience de 20 ans dans des postes tels que Directeur des Ressources Humaines, de la Stratégie ou des Système d'Information, François Geuze possède une expertise reconnue tant dans le domaine des stratégies RH et du Contrôle de Gestion RH que dans les nouvelles technologies appliquées au domaine de la gestion des hommes. Auteur de nombreuses contributions dans ce domaine, il maîtrise les évolutions des nouveaux média et s'est vu attribué la reconnaissance de sa communauté pour ses réalisations de sites internet dédiés aux Ressources Humaines ( e-RH et Trajectoires-RH notamment). Il assure la Direction Scientifique de HR Fiab Lab Europe. Il anime actuellement la structuration des Cafés RH et le Café RH de Lille et assure la présidence du réseau national des troisièmes cycles spécialisés en Ressources Humaines, Référence RH. Première communauté regroupant Formations (38 formations de niveau master et mastere spécialise) et Diplômés (15.200 en 2011) Référence RH travaille a la qualité des formations et a la structuration de la fonction RH au travers de l'Observatoire National des Métiers de la Fonction RH. Il a par ailleurs participé à l'ouvrage de Francois STANKIEWICZ "Manager RH" - http://www.manager-rh.org et la révision du dernier ouvrage de Dave ULRICH : RH: création de valeur pour l'entreprise. Spécialisations :Ressources Humaines, Audit Social, Relations Sociales, SIRH, Technologies et Innovations RH.