Conformité au RGPD : Ce que les ressources humaines doivent savoir

La réglementation générale sur la protection des données (RGPD) modifie la façon dont les entreprises peuvent recueillir, collecter et utiliser des informations sur leurs salariés et leurs clients. Elle concerne tous les pays de l'Union européenne (UE), y compris la Grande-Bretagne, et vise à unifier les réglementations sur les données dans l'ensemble du bloc. En outre, si vous êtes une société basée en dehors de cette région, mais stockant des données sur les citoyens d’un pays de l'UE, le RGPD vous concerne.

Pour les entreprises basées ou opérantes au Royaume-Uni, il est important de noter que, même si le pays doit se retirer de l'UE, il reste soumis aux lois définies par le RGPD au moins jusqu'en mars 2019. Cela signifie que toutes les organisations en Europe doivent être conscientes de leurs obligations dans le cadre du RGPD et de ce qu'elles doivent faire.

Mon entreprise est-elle concernée ?

Oui. Chaque organisation doit se conformer au RGPD, quelle que soit sa taille. Cela ne dépend pas de la taille de votre entreprise, car il ne s’agit pas uniquement des informations que vous pouvez obtenir sur les consommateurs potentiels via votre site Web.

Les entreprises stockant des données doivent respecter les réglementations, et cela affecte toute personne employant une autre personne. Toutes les organisations ont besoin d'informations de base sur leurs employés, telles que leurs coordonnées bancaires ou leur adresse, afin de s'assurer que le droit du travail est respecté.

Pourquoi maintenant ?

La technologie a évolué beaucoup plus rapidement que prévu et très peu de règlements décrivent les nombreuses façons dont les données peuvent être recueillies, stockées et utilisées. En outre, les entreprises doivent s'assurer qu'elles sont protégées contre la menace croissante de la cybercriminalité. Le RGPD veut s'assurer que la loi est appropriée pour la vie privée mise en ligne, et que les individus sont en contrôle de leurs informations personnelles.

Quelles sont les modifications ?

L'objectif de la nouvelle législation est de renforcer les failles que les entreprises ont pu exploiter dans le passé et d'augmenter les amendes si les précautions appropriées n’ont pas été prises.

De manière générale, le RGPD confère plus de droits à l'individu. Ces droits peuvent être divisés en quelques domaines clés :

• Informations — les entreprises doivent expliquer aux individus comment/où leurs informations sont traitées ou stockées
• Accès — vous devez permettre aux individus de voir les données que vous avez sur eux, et leur permettre d'y accéder pour leur usage personnel
• Rectification — les entreprises doivent permettre aux personnes de mettre à jour des informations inexactes
• Effacement — les personnes doivent être autorisées à vous demander de retirer ou de supprimer leurs données personnelles
• Restriction — les individus peuvent vous permettre de stocker leurs données sans consentir à les partager, ce qui concerne également les situations où les informations sont traitées par des machines plutôt que par des personnes.
• Objection — les entreprises doivent permettre aux individus de se retirer du marketing axé sur les données ou d'utiliser leurs informations pour conduire des recherches

Quand cela entrera-t-il en vigueur ?

La loi sera présentée le 25 mai 2018, mais il y a des mesures que votre entreprise doit prendre dès à présent pour vous assurer de respecter les normes énoncées dans la loi. En tant que RH, vous êtes idéalement placé pour jouer un rôle de premier plan dans la préparation de votre organisation aux échéances du RGPD.

Voici cinq questions clés à vous poser avant l’échéance de 2018 :

• Les individus savent-ils comment vous demander de supprimer leurs informations ?
• Quel est le processus de traitement de ces demandes ?
• Combien de temps faut-il pour répondre à la suppression de renseignements personnels ?
• Avez-vous besoin du consentement de quelqu'un d'autre pour les données que vous détenez (enfants ou adultes vulnérables) ?
• Quel est votre plan de crise en cas de violation de données ?

Poser ces questions peut vous aider à identifier les zones où votre politique de données peut être vulnérable lorsque le RGPD entrera en vigueur. Il est également important de voir si le reste de l'entreprise se sent bien préparé pour les changements, et si une formation de base en matière de protection des données et de sécurité peut être une poursuite utile pour vous protéger totalement et sécuriser vos consommateurs.

Quelles sont les pénalités ?

L'un des changements les plus importants apportés par le RGPD est l'amende à payer si vous ne respectez pas le règlement. Les données sont des affaires sérieuses, qu'elles appartiennent à vos employés ou aux consommateurs, et les pénalités sont là pour vous le rappeler.

À partir de mai 2018, les entreprises pourraient être condamnées à une amende pouvant aller jusqu'à 20 millions d'euros, soit 4 % du chiffre d'affaires global d'une entreprise si elles ne s'y conforment pas (le montant le plus élevé sera retenu).