Formation au RGPD : une obligation règlementaire mais pas que…

Rédigé par Michel Commun, expert RGPD chez Softeam Consulting.

Des dizaines d’articles traitent actuellement du RGPD (Règlement Général sur la Protection des Données personnelles ou GDPR en anglais, General Data Protection Regulation).

Et pour cause, le RGPD a créé une révolution culturelle au sein de toutes les entreprises (que ce soit la petite PME à plus la grosse multinationale) traitant des données personnelles de personnes physiques…

Depuis le 25 Mai 2018, tout traitement de données personnelles est strictement encadré et doit respecter des règles de consentement, transparence, droits des personnes et principe de responsabilité « Accountability » sous peine que l’entreprise soit pénalisée par une amende de 20 millions d’euros ou 4% de son chiffre d’affaires annuel.

On comprend donc aisément en quoi la formation des collaborateurs est un sujet majeur pour les entreprises.

Former les collaborateurs au RGPD est, en effet, incontournable pour permettre une véritable appropriation des nouvelles règles et adopter les bons réflexes face à des personnes physiques de plus en plus au courant et averties des nouvelles règles les protégeant.

Voici 4 piliers possibles pour une démarche de mise en place de sessions de formation à la protection de données personnelles:

  • 1 : Former
  • 2 : Documenter
  • 3 : Responsabiliser
  • 4 : Suivre/ contrôler

1. Former

La mise en place d’une politique d’entreprise concernant la protection des données personnelles doit être expliquée aux collaborateurs.

Le DPO, la personne en charge du projet RGPD doit être moteur et organiser une série de réunions de formation.

L’entrée en matière de la 1ère réunion pourrait par exemple expliquer ce qu’est une donnée personnelle en distinguant les donnes dites « générales » des données sensibles.

Il s’agira d’appliquer en quoi une donnée personnelle est une information, qualifiant directement ou indirectement une personne physique.

Il est également bon de rappeler que la collecte et traitement d’une donnée personnelle doit impérativement avoir une finalité précise, légale et légitime.

Afin d’imager cela, des situations à risque pouvant survenir dans l’entreprise au quotidien (envoi de mails avec diffusion d’une liste de contacts, non verrouillage de sessions, pratiques à risque lors de déplacements professionnels) peuvent être présentées aux collaborateurs.

L’obligation de donner l’alerte en cas de fuite de données devra être soulignée dans ce cadre.

Dans le cas d’une grande hétérogénéité d’accès aux données personnelles, il est également important de prévoir des formations complémentaires plus poussées pour les collaborateurs ayant un niveau d’accès supérieur aux données personnelles (par exemple, responsables de traitement).

2. Documenter

A l’appui de cette sensibilisation, il est souhaitable de constituer une documentation listant les bonnes pratiques de protection des données personnelles.

Dans ce cadre, rédiger une charte informatique est très utile.

Tout en étant adaptée aux activités et métiers de vos collaborateurs, elle peut comprendre :

  • Le rappel des règles de sécurité informatiques que l’entreprise a adoptée suite à sa mise en conformité RGPD,
  • L’obligation de signaler une éventuelle fuite de données…

Afin de donner du poids à cette charte et la rendre obligatoire, il est possible de l’annexer au règlement intérieur de l’entreprise.

3. Responsabiliser

Evidemment, aucune action de formation à la sécurisation des données personnelles ne peut porter ses fruits tant que l’on ne responsabilise pas les collaborateurs.

Ainsi il est possible d’inclure des clauses de confidentialité spécifiques dans les contrats de travail (cette clause de confidentialité porte alors spécifiquement sur le traitement et la protection des données personnelles).

4. Suivre / contrôler

La formation des collaborateurs à la sécurité des données personnelles doit s’inscrire sur du long terme.

En effet, les pratiques et habitudes de travail présentent une forte inertie et l’habitude peut vite reprendre le pas…

Cette résistance au changement et à l’adoption des bonnes pratiques suppose donc des actions de suivi et de contrôle régulières.

Ponctuellement il conviendra ainsi de vérifier que les bonnes pratiques sont intégrées et suivies au quotidien.

Renouveler les procédures en cas de besoin, rédiger des notes régulièrement (en cas d’évolutions réglementaires par exemple), les diffuser par mail… tout ceci fait partie de la phase du suivi/ contrôle en matière de sensibilisation à la confidentialité des données personnelles.

Le DPO doit être le moteur de ce changement et les collaborateurs doivent avoir le réflexe de solliciter celui-ci en cas de doute.