Comment sensibiliser les équipes à la protection des données ?

Depuis le 25 Mai 2018, la responsabilité de la protection et de la sécurité des données personnelles est désormais confiée aux organismes publics et privés qui traitent des données.

"Le Règlement Général pour la Protection des Données, s'il reste fidèle aux principes fondateurs de la protection des données en Europe, modifie profondément les obligations pesant sur les organismes,publics ou privés, qui traitent des données.Ce nouveau cadre repose sur une logique de responsabilisation des organismes qui traitent des données, qu'ils soient responsables de traitements- donneurs d'ordre - ou sous-traitants. (Référence 1)

Cette notion de responsabilisation (accountability) se traduit tout d'abord par l'affirmation de deux principes : la prise en compte de la protection des données dès la conception du service ou du produit et par défaut (souvent connues sous leur nom anglais de Privacy by design et by default). Concrètement, cela signifie qu'à la fois en termes d'organisation interne, de configuration des services ou des produits et de nature et volume de données traitées, les responsables de traitements devront mettre en place des processus et mesures permettant de garantir une protection optimale des données et une minimisation de la collecte."

Afin de remplir cette lourde tâche, tout en restant compétitif, il revient à l'organisme de s'assurer de la mise en oeuvre de moyens de protections techniques et automatisés mais également de moyens humains manuels fondés sur le strict respect de procédures, chartes, règlements, et autres politiques écrites par l'entreprise pour l'entreprise.

Pourquoi sensibiliser les équipes à la protection des Données Personnelles ?

La sensibilisation des équipes à la protection des Données Personnelles est non seulement obligatoire mais elle est aussi primordiale afin d'assurer une mise en conformité de l'ensemble des systèmes d'information et de l'ensemble des opérations de traitement quels que soient leur importance et leurs conséquences sur l'individu. Elle est devenue également essentielle au suivi et à la continuité des outils et des procédures de conformité mis en place par les responsables de traitement et autres représentants, relais de la Privacy, et DPO de l'entreprise.

Le collaborateur qui comprend ce qu'est une donnée personnelle, ce que signifie la protection des données et en quoi cela touche ses actions quotidiennes se responsabilise, s'auto-régule, s'auto-organise et surtout intègre naturellement les principes essentiels de protection des données personnelles, notamment le Privacy by design.

Comment sensibiliser les équipes à la protection des Données ?

Une façon de sensibiliser les équipes à la protection des données y compris des données personnelles est de s'adapter lorsque cela est possible aux publics concernés afin qu'ils s'approprient eux-mêmes le principe même de la protection des données.

Pour se faire, il s'agit d'identifier en amont :

• Les traitements de données personnelles opérés par l'entreprise et les détailler ;
• Les personnes habilitées pour chaque traitement des données personnelles selon leur rôle dans l'entreprise ;
• Les personnes ayant accès aux données personnelles selon leur rôle dans l'entreprise ;
• Les données personnelles concernées par chacun des traitements ;
• Les personnes concernées par chacun des traitements ;
• Les systèmes impliqués dans les traitements de données personnelles.

Il s'agit ensuite de documenter :

• Créer une cartographie des traitements ;
• Cartographier les partenaires/ cocontractants ;
• Créer ou mettre à jour une charte informatique et libertés ;
• Créer ou mettre à jour un registre des habilitations et des accès ;
• Créer ou mettre à jour un registre des activités de traitement ;
• Créer ou mettre à jour une politique de sécurité des systèmes d'information ;
• Créer des protocoles internes de gestion et de protection des données personnelles par métier et/ou traitement ;
• Créer des procédures de gestion des droits des personnes concernées ;
• Créer des procédures de gestion en cas de violation de données à caractère personnel ;
• ...

Quelles peuvent être les étapes à mener pour sensibiliser les collaborateurs à la protection des données ?

Une fois ce travail effectué, l'entreprise peut procéder par étape : de l'information la plus large à l'information la plus granulaire en fonction de l'interlocuteur.

Etape 1 : Sensibiliser l'ensemble des collaborateurs à la protection des données :

• Organiser une formation générique et globale sur les grands principes du RGPD en plénière :

- En interne, animée par le GDPO*, ou DPO, ou l'équipe en charge de la Privacy au sein de l'entreprise, ou au sein de grands services pour les structures les plus importantes ;
- Dans les locaux de l'entreprise, animé par un ou plusieurs intervenants externes (avocats, DPO externe, spécialistes de la Privacy, consultants...).

• En fonction de la réceptivité et de la présence des équipes, réitérer ce type de plénière afin d'être certain que les grands principes ont bien été entendus et compris par tous.

Etape 2 : Former les collaborateurs selon leur rôle dans l'entreprise

• Organiser des sessions de formations en petit comité animées par les responsables/relais de la Privacy dans l'entreprise

- Adapter le contenu de la formation aux rôles concrets des collaborateurs, utiliser et mettre en scène des situations du quotidien, quelques exemples :

Quelles sont les données personnelles traitées par votre service, par l'entreprise ?
Quel est le premier support de protection des données personnelles individuel : Est-ce l'ordinateur ? Comment le protéger ?
Avez-vous mis des mots de passe respectueux des recommandations de la CNIL/ Avez-vous mis en place un verrouillage des sessions en cas de non activité ? / ... non partage des mots de passe ...
Dans le CRM, ne pas écrire d'informations inutiles, voire sensibles telles que « Notre contact est enceinte, et bientôt en congé maternité », « l'adresse postale personnelle de mon contact est..." et toute autre information inutile à la relation commerciale ...

- Les informer et les responsabiliser quant aux conséquences et autres sanctions pour eux, pour leur société, et pour toute personne externe concernée par le traitement de leurs données par l'entreprise liées à une mauvaise utilisation/malveillance lors des traitements ;

- Les informer, et les former au respect des chartes, politiques, procédures mises en place au sein de l'entreprise et donner à ces documents une force contraignante.

• Proposer et/ou mettre en place des formations externes à la protection des données et/ou à la sécurité des systèmes d'information.

Etape 3 : Responsabiliser les collaborateurs à la protection des données dans leur quotidien

• Impliquer les équipes dans l'écriture de la documentation et la mise à jour de leur fiche de traitement, inventaires de partenaires et autres clients ;
• Valoriser les bonnes pratiques.

Etape 4 : Faire des piqûres de rappel régulières

• Sous forme de micro-réunions, d'ateliers cas pratiques sur des aspects précis ;
• Sous forme de mise en place de rappel calendaires dans les agendas des équipes afin de vérifier, supprimer, mettre à jour les informations disponibles et/ou traitées par les collaborateurs ;
• Sous forme de mise à disposition, ou de relais de contenus externes.

Conclusion

Si, aux yeux des collaborateurs, le RGPD semble être un sujet tortueux, inaccessible, dédié aux juristes ou un immense buzz qui ne concerne que les mésusages de certains grands acteursaméricains du secteur du digital, il reste néanmoins important de permettre à chacun de comprendre que la première donnée personnelle traitée est leur propre donnée, que le RGPD répond dans sa forme originelle à un besoin de protéger la donnée personnelle de chacun quelle que soit sa forme ; et de donner à chacun la possibilité de comprendre l'utilisation qui en est faite.

Les entreprises se doivent ainsi de permettre la plus grande appropriation possible par leurs collaborateurs de ce qu'est la donnée personnelle, du type de données qu'ils traitent, de son degréde criticité sur la vie privée des personnes concernées avec des questions simples : Imaginez qu'on parle de votre donnée personnelle ? Et si c'était vous la personne concernée ? Par quoi devons-nouscommencer pour protéger la donnée personnelle ?

Quelle que soit la taille des structures, la sensibilisation sera efficace si elle touche les collaborateurs dans leurs missions quotidiennes.

Auteur

Cette contribution vous a été fournie par Naïma Conton, DPO Sirdata, Membre du Turing Club

Références

• CNIL (Ref.1)- Les enjeux 2018 pour accompagner les professionnels dans leur transition au règlement jusq'au 25.
• CNIL : RGPD : De quoi parle t'on ?
• CNIL - Définition : Le Responsable de Traitement (RT)
• CNIL - Règlement Général sur la Protection des données : ce qui change pour les professionnels
• BPI France et CNIL - RGPD : Guide à destination des TPE-PME
• CNIL - Sécurité informatique, sensibiliser les collaborateurs
• Article ZDNet : La formation des collaborateurs au RGPD un enjeu clé
• Atelier CNIL - MOOC Gratuit jusqu'en 2021 avec délivrance d'attestation
• Définition : GDPO Group Data Protection Officer
• Data protection Officer (DPO) : RGPD, CNIL, définition

Tags à associer : Sensibilisation aux bonnes pratiques, protection des données, RH, DPO, représentant privacy,relais privacy, formation interne, formation externe, procédures internes