Le DPO comme porteur de projet

Afin de mettre la protection des données personnelles au coeur de l’activité des entreprises le RGPD a rendu dans certains cas obligatoire la nomination d’un DPO (Data Protection Officer).

Reprenant le rôle de l’ex-CIL  (Correspondant Informatique et Liberté), ce DPO est en charge de la mise en conformité. Il doit donc cartographier les usages de traitement des données afin de produire un registre attestant du respect du règlement; ce registre étant exigé par la CNIL en cas de contrôle.

Pour les TPE et les PME concernées par l’obligation de nommer un DPO mais qui n’ont pas les ressources suffisantes en interne, il est tout à fait possible de nommer à la protection des données un délégué externe.

Quant aux entreprises non concernées par cette obligation de nomination, elle comprennent aisément l’importance de nommer un chef de projet (souvent issu du service informatique ou juridique) afin de mener à bien ce chantier.

Et les collaborateurs dans tout ça?

Identifier et protéger les données personnelles sensibles enregistrées est une première étape car cela prévient les tentatives extérieures de captation des données.

Une enquête du Ponemon Institute pour IBM Security, publiée en 2022, souligne l’ampleur de la fuite des données personnelles : 83 % des entreprises questionnées ont été victimes plus d’une fois d’un vol de données, et 277 jours en moyenne sont nécessaires pour identifier et contenir une violation de données.

Attaques extérieures? Ransomware?

Eh non ! La plupart du temps c’est la négligence des collaborateurs est responsable de la fuite de données !

Au-delà des violations de données initiée par des hackers (vol de documents, de fichiers, disparition de périphériques de stockage…), la majorité des fuites de données est donc simplement liée à un manque de vigilance, et peut donc être évitée.

Protéger c’est bien, sensibiliser c’est encore mieux !

Sensibiliser vos collaborateurs à la sécurisation des données est incontournable pour garantir réellement la sécurité des données personnelles qui transitent dans votre entreprise.

Qu’importe votre nouveau système de classement sécurisé avec autorisations si aucun de vos collaborateurs ne le respecte !

Voici les 4 piliers pour une démarche gagnante de sensibilisation à la protection des données:

• Former
• Documenter
• Responsabiliser
• Suivre/ contrôler

Former

Il est évident que l’adoption d’une nouvelle politique d’entreprise concernant la gestion des données personnelles doit être expliquée aux collaborateurs.

Par où commencer?

Nombreux sont les salariés qui manipulent des données personnelles sans même en avoir conscience. Un bon point de départ peut consister en une formation sur ce qu’est une donnée sensible puis de présenter les nouvelles pratiques en vigueur dans l’entreprise.

En fonction de la taille de l’entreprise, et de manière très simple, le DPO, la personne en charge du projet RGPD ou encore un prestataire extérieur peut organiser une série de courtes réunions.

L’entrée en matière de la 1e réunion pourrait être de questionner la définition qu’ont vos collaborateurs de la donnée personnelle. Vous serez surpris par l’approximation des réponses!

Il sera alors temps d’expliquer qu’une donnée personnelle est une information, qualifiant directement ou indirectement une personne, et qui pris seule ou croisée à d’autres données constitue une information confidentielle.

Il peut être bon de rappeler aussi que la collecte d’une donnée personnelle doit impérativement avoir une finalité précise, légale et légitime.

Vous pouvez ensuite présenter des situations à risque (envoi de mails avec diffusion d’une liste de contacts, non verrouillage de sessions, pratiques à risque lors de déplacements professionnels), puis exposer les solutions permettant d’éviter ces négligences. L’obligation de donner l’alerte en cas de fuite de données devra aussi être soulignée

Au fur et à mesure de ces réunions, il conviendra de présenter les nouvelles règles en vigueur, de répondre aux questions et objections, et ainsi de faciliter l’adoption par tous de la nouvelle politique sécuritaire.

Vidéos, quizz, mises en situation… tout est possible ! A vous de trouver la bonne pédagogie pour capter l’attention de vos équipes et les sensibiliser à cette question.

Dans le cas d’une grande hétérogénéité d’accès aux données personnelles, il est stratégique de prévoir des formations complémentaires plus poussées pour les collaborateurs ayant un niveau d’accès supérieur aux données personnelles.

Documenter

A l’appui de cette formation il est souhaitable de constituer une documentation listant les bonnes pratiques de sécurisation des données et les questions courantes. Ces plaquettes doivent être ludiques, claires accessibles, et mises à jour en cas de besoin.

Rédiger une charte informatique est aussi un très bon réflexe. Tout en étant adaptée aux activités et métiers de vos collaborateurs, elle peut comprendre :

• Le rappel des règles de sécurité que votre entreprise a adoptées suite à sa mise en conformité avec le RGPD (ne pas installer de logiciel, verrouiller son ordinateur quand on quitte son poste de travail, ne pas communiquer ses identifiants/ mots de passe
  
• L’obligation de signaler une éventuelle fuite de données au service informatique
• Les interdictions / recommandations en cas de travail en mobilité, à domicile etc.

Afin de donner du poids à cette charte, il est possible de l’annexer au règlement intérieur de l’entreprise. Devenue ainsi obligatoire, sa violation peut alors entraîner des sanctions.

Responsabiliser

Evidemment, aucune action de sensibilisation à la sécurisation des données personnelles ne peut porter ses fruits tant que l’on ne responsabilise pas les collaborateurs.

Il est possible d’inclure des clauses de confidentialité spécifiques dans les contrats de travail (cette clause de confidentialité porte alors spécifiquement sur les données personnelles).

Il peut être judicieux aussi de demander à ses collaborateurs de faire signer à chaque prestataire extérieur un document portant sur la confidentialité des données de celui-ci. En étant co-signataire avec son interlocuteur, le collaborateur s’engage à une grande vigilance, et s’engage personnellement à la sécurisation des données informatiques qu’il manipule.

Suivre/ contrôler

In fine, la sensibilisation de ses collaborateurs à la sécurité des données doit s’inscrire sur du long terme. Les pratiques et habitudes de travail présentent une forte inertie !

Cette résistance au changement et à l’adoption des bonnes pratiques suppose donc des actions de suivi et de contrôle.

Ponctuellement il conviendra de vérifier que les bonnes pratiques sont intégrées et suivies au quotidien. La connaissance de la charte informatique par les collaborateurs peut aussi être évaluée.

Renouveler les procédures en cas de besoin, rédiger des notes régulièrement, les diffuser par mail, questionner les blocages et les évolutions métiers… tout ceci fait partie de la phase du suivi/ contrôle en matière de sensibilisation à la confidentialité des données.

Votre porteur de projet RGPD (ou le DPO si votre entreprise en a nommé un) doit être le moteur de ce changement. Par conséquent il doit être joignable facilement par les collaborateurs, surtout dans les premiers mois de mise en conformité. Nombreuses sont les questions, nombreuses seront les réponses !

Les collaborateurs doivent avoir le réflexe de solliciter le chef de projet RGPD en cas de doute. Son énergie et son enthousiasme participeront grandement au succès de ce travail de sensibilisation !

Conclusion

Se mettre en conformité pour garantir la protection des données sensibles dans son entreprise est une obligation, mais les moyens de sensibilisation de vos collaborateurs vous appartiennent…

Il reste encore du chemin pour sécuriser nos organisations, et ce renforcement sécuritaire passera nécessairement par vos collaborateurs. 

Par ailleurs, si vous pensez être en totale conformité avec le RGPD, nous vous invitons à lire notre article sur les failles RGPD que constituent les copieurs. Vous devriez être surpris ! Qui a dit que le RGPD était un long fleuve tranquille?