RGPD, GDPR…Kesako???
Le RGPD, ou Règlement Général sur la Protection des Données, vise à renforcer la protection des données personnelles en renforçant les droits des individus. Ce nouveau règlement, voté en 2016, est entré en application le 25 mai 2018 et est de portée européenne. L’objectif est louable puisqu’il est censé protéger les individus sur l’utilisation de leurs données et facilite notamment leurs droits d’accès, droits de rectification, droits à l’oubli….
Dans le même temps cette avancée est lourde de conséquences pour les entreprises (et pas seulement les recruteurs!!!) puisque naissent de nouvelles obligations pour les entreprises : mise en place d’un registre de traitement des données personnelles, mesures de sécurité et de confidentialité des données, réponses aux sollicitations des individus…
Ce nouveau règlement bouleverse la plupart des services des entreprises, marketing, commercial, achat…bref tout ceux qui conservent des données de contacts! En bon professionnel des RH, LM5P s’est évidemment penché particulièrement sur les conséquences pour les recruteurs.
Après lecture du RGPD, des recommandations de la CNIL, d’échanges avec des juristes, fournisseurs de bases de données candidats, DRH, voici nos conseils pour optimiser ce véritable tournant.
Tout d’abord il faut comprendre ce qu’est une donnée personnelle :
Nous allons nous en tenir à une définition de la CNIL : « Une donnée personnelle est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail… »
Voici maintenant LA méthode LM5P : celle qui nous semble la plus simple et la plus efficace!
R : Renseignez vous!
N’essayez pas de tout faire seul: parce que cela demande de multiples compétences et que certains en ont fait leur spécialité. Vous pouvez prendre contact avec un consultant, la Cnil, un avocat etc…qui sauront vous conseiller sur la méthodologie!
G : Gérez vos données!
– Cartographiez vos traitements de données personnelles
Pour mesurer concrètement l’impact du règlement sur la protection des données que vous gérez, commencez par recenser de façon minutieuse vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permettra de faire le point.
– Priorisez les actions à mener
Sur la base de ce registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
– Gérez les risques
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées puis vous devrez mener une analyse d’impact relative à la protection des données pour chacun de ces traitements (AIPD).
– Organisez des processus internes
Pour assurer un bon niveau de protection des données durablement, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment. Vous devez prendre en compte l’ensemble des événements qui peuvent survenir durant la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification, modification de données collectées ou bien changement de prestataire informatique).
– Documentez la conformité
C’est obligatoire : pour prouver votre conformité au règlement, vous devez constituer puis regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en permanence!
P : Profitez pour supprimer!
C’est le moment de faire un grand ménage, notamment dans vos archives. Vous pouvez trier puis supprimer tous les documents/éléments de données personnelles dont vous n’avez rien à faire!
D : Digitalisez vous!
Si vous aviez du mal à vous digitaliser…c’est l’occasion de faire d’une pierre deux coups! Les données papiers sont ingérables et indigestes, prennent de la place, nécessitent un gros travail d’archivage etc… Alors une fois que vous aurez fait correctement votre tri, scannez et passez au tout numérique! En plus c’est écolo (et chez LM5P on est sensible à l’écologie)!
Bref la RGPD, comme tous les règlements, semble inutile et fastidieuse à mettre en place au début mais reste un mal nécessaire dans une société de plus en plus digitale où ces données peuvent être utilisées pour des fins peu louables! Alors puisque vous allez devoir vous y mettre, autant le faire bien. Vous pouvez y voir l’opportunité d’avoir des données bien classées (donc mieux exploitables) et de consommer moins de papier 😉