Accountability (RGPD), RH et formation

La responsabilité est un principe clé du RGPD. Cependant, il y a peu d'indications officielles sur ce que cela signifie en pratique. Jeune Entreprise Innovante réalise une synthèse à l'attention des JEI.
La notion d'accountability (responsabilité en français) n'est pas nouvelle. L'accountability a été introduite comme principe fondamental de la protection des données dans les années 1980. Il s'agissait auparavant d'une attribution réactive de la responsabilité en matière de respect de la vie privée. Cependant, l'application du principe RGPD exigera une approche systématique et proactive de tous les processus de collecte et de traitement des données personnelles dans l'ensemble de l'entreprise. Fait important, les entreprises devront démontrer la conformité (par la documentation, les politiques et la tenue d'une trace écrite) avec leurs obligations en vertu du RGPD pour satisfaire au principe, plutôt que de se contenter d'une simple checklist ... en cas de contrôle autorités nationales (la CNIL en France).

L'accountability du RGPD dans la pratique

L'application individuelle du principe d'accountability par les entreprises dépendra d'une série de facteurs, notamment la nature, la portée, le contexte et le but du traitement, ainsi que les droits et libertés des individus.

Le principe d'accountability stipule que plus les risques associés au traitement des données en question seront importants et graves, plus les mesures à prendre pour y remédier seront importantes. Les facteurs qui constituent un traitement risqué comprennent, sans s'y limiter, les circonstances:

  • qui peuvent donner lieu à une discrimination, un vol d'identité ou une fraude
  • qui peuvent causer des dommages à la réputation ou tout autre désavantage économique / social
  • dans lesquelles les données sont sensibles et / ou en grandes quantités.

Accountability et RGPD: Impact pratique

En pratique, il existe diverses étapes requises pour le traitemet des données RH / employeur dans le cadre d'un programme de conformité plus large:

Si vous ne l'avez pas déjà fait, commencez le processus de conformité GDPR en alertant les membres du conseil d'administration de votre organisation sur les changements et leur impact sur l'entreprise. L'adhésion au sommet est essentielle, ainsi que la mise en place de programmes de formation pour tous les employés afin de s'assurer que tout le monde connaît et comprend les changements.

Tenez compte du temps, des ressources et de l'argent requis pour démontrer votre conformité et, le cas échéant, nommez un responsable de la protection des données (DPO, Data Privacy Officer) ou un défenseur de la confidentialité pour diriger et superviser la conformité continue.

Comprenez quelles informations vous détenez en cartographiant ou auditant les enregistrements de données, la documentation, les processus, les systèmes et les exigences de votre organisation, y compris les types d'employés / candidats / données RH que vous détenez et comment ils sont obtenus, stockés et traités. Tenez compte des mesures de suivi correctives visant à assurer la conformité, notamment en minimisant le traitement des données sur les employés lorsque cela est possible ou en mettant en place des stratégies de données sur les employés pour aider à faire respecter la conformité.

Accountability et RGPD: d'abord, informer les employés

Le RGPD exige de donner beaucoup plus d'informations aux employés dès le départ quant à l'utilisation de leurs données. Cela inclut de fournir des détails sur  les qui, quoi, pourquoi et quand du traitement, et d'informer les employés de leur droit de s'opposer, de restreindre le traitement ou d'effacer les données dans certaines circonstances. Cela vous obligera à émettre des avis de confidentialité significatifs aux employés.

Effectuer des évaluations d'impact sur la vie privée pour le traitement «à haut risque» des données sur les employés. Assurez-vous que vous pouvez justifier ce traitement dit risqué.

Assurez-vous que les enregistrements de votre activité de traitement des données RH sont conservés et régulièrement révisés et mis à jour au besoin.

La conformité doit être démontrée entre les contrôleurs de données et les entreprises de traitement de données ainsi qu'avec les autorités de surveillance. Pour cette raison, passez en revue les contrats avec vos processeurs et fournisseurs (par exemple avec votre fournisseur de services de paie) pour vous assurer qu'ils sont également conformes. Sinon, vous pouvez également être responsable.

Aimé ou détesté, le RGPD sera l'occasion d'éduquer et de rafraîchir la façon de penser de tout le personnel et de repenser, actualiser et réorganiser vos systèmes, processus et documentation RH. Compte tenu du niveau élevé d'attention mondiale des autorités et des médias sur les violations de données, le RGPD entrainera un changement culturel de la salle de réunion au sous-sol. Soyez l'ambassadeur de votre organisation plutôt qu'un spectateur.