Des dizaines de milliers d’articles traitent de la RGPD : la raison d’être de ce règlement, la date de son entrée en vigueur, ses implications… rare sont les règlements européens à avoir créée un tel vent de panique !
Et pour cause : depuis le 25 mai 2018, tout traitement de données en infraction à la sacro-sainte règle des 4 (consentement, transparence, droit des personnes et principe de responsabilité) peut être pénalisée par une amende de 20 millions d’euros ou 4% du chiffre d’affaire annuel de l’entreprise.
L’objet de cet article n’est pas d’analyser l’enjeu stratégique que représentent les données en entreprise, ni de revenir en détail sur le contenu de ce règlement, son importance au regard des libertés individuelles ou encore la manière de le mettre en place. De très bons articles foisonnent sur ces sujets.
Notre propos est le suivant : qu’avez vous mis à disposition de vos collaborateurs pour qu’ils travaillent en conformité avec la RGPD?
Si votre réponse à cette question tourne autour du néant, c’est qu’il est grand temps pour vous de sensibiliser vos collaborateurs à la sécurité des données !
RGPD : ce que vous avez probablement déjà fait
RGPD : ce que vous avez probablement déjà fait
Une grande majorité des entreprises s’étant mises en conformité avec la RGPD ont suivi le plan d’action suivant d’ailleurs préconisé par la CNIL :
- Le recensement des fichiers afin de cartographier l’usage des données personnelles
- Le tri dans ces données entre ce qui est utile pour votre activité et ce qui ne l’est pas
- Les actions de transparence auprès des personnes dont vous avez les données personnelles
- La mise en place d’une protection des données renforcée (contre cyberattaques etc.)
Ce travail considérable visant à garantir la confidentialité des données personnelles dont dispose les entreprises a constitué une étape capitale portée par des décideurs soucieux de se mettre en conformité dans les temps.
Malgré tout il faut questionner la participation des collaborateurs à ce projet. Quel est leur degré de sensibilisation rgpd?
Le DPO comme porteur de projet
Le DPO comme porteur de projet
Afin de mettre la protection des données personnelles au coeur de l’activité des entreprises la RGPD a rendu dans certains cas obligatoire la nomination d’un DPO (Data Protection Officer).
Reprenant le rôle de l’ex-CIL (Correspondant Informatique et Liberté), ce DPO est en charge de la mise en conformité. Il doit donc cartographier les usages de traitement des données afin de produire un registre attestant du respect du règlement; ce registre étant exigé par la CNIL en cas de contrôle.
Pour les TPE et les PME concernées par l’obligation de nommer un DPO mais qui n’ont pas les ressources suffisantes en interne, il est tout à fait possible de nommer à la protection des données un délégué externe.
Quant aux entreprises non concernées par cette obligation de nomination, elle comprennent aisément l’importance de nommer un chef de projet (souvent issu du service informatique ou juridique) afin de mener à bien ce chantier.
Et les collaborateurs dans tout ça?
Et les collaborateurs dans tout ça?
Identifier et protéger les données personnelles sensibles enregistrées est une première étape car cela prévient les tentatives extérieures de captation des données.
Une enquête du Ponemon Institute publiée en 2016 souligne l’ampleur de la fuite des données personnelles : 76% des informaticiens reconnaissent avoir subi une perte ou un vol de données informatiques au cours des deux années précédentes.
Attaques extérieures? Ransomware?
Eh non ! Ces mêmes informaticiens interrogés soulignent que la négligence des collaborateurs est responsable de 78% des fuites de données !
Si certaines fuites revêtent un caractère intentionnel certain (vol de documents, de fichiers, disparition de périphériques de stockage…), la majorité est simplement liée à un manque de vigilance, et peuvent donc être évitées.
Protéger c’est bien, sensibiliser c’est encore mieux !
Sensibiliser vos collaborateurs à la sécurisation des données est incontournable pour garantir réellement la sécurité des données personnelles qui transitent dans votre entreprise.
Qu’importe votre nouveau système de classement sécurisé avec autorisations si aucun de vos collaborateurs ne le respecte !
Voici les 4 piliers pour une démarche gagnante de sensibilisation à la protection des données:
- Former
- Documenter
- Responsabiliser
- Suivre/ contrôler
Former
Former
Il est évident que l’adoption d’une nouvelle politique d’entreprise concernant la gestion des données personnelles doit être expliquée aux collaborateurs.
Par où commencer?
Nombreux sont les salariés qui manipulent des données personnelles sans même en avoir conscience. Un bon point de départ peut consister en une formation sur ce qu’est une donnée sensible puis de présenter les nouvelles pratiques en vigueur dans l’entreprise.
En fonction de la taille de l’entreprise, et de manière très simple, le DPO, la personne en charge du projet RGPD ou encore un prestataire extérieur peut organiser une série de courtes réunions.
L’entrée en matière de la 1e réunion pourrait être de questionner la définition qu’ont vos collaborateurs de la donnée personnelle. Vous serez surpris par l’approximation des réponses!
Il sera alors temps d’expliquer qu’une donnée personnelle est une information, qualifiant directement ou indirectement une personne, et qui pris seule ou croisée à d’autres données constitue une information confidentielle.
Il peut être bon de rappeler aussi que la collecte d’une donnée personnelle doit impérativement avoir une finalité précise, légale et légitime.
Vous pouvez ensuite présenter des situations à risque (envoi de mails avec diffusion d’une liste de contacts, non verrouillage de sessions, pratiques à risque lors de déplacements professionnels), puis exposer les solutions permettant d’éviter ces négligences. L’obligation de donner l’alerte en cas de fuite de données devra aussi être soulignée
Au fur et à mesure de ces réunions, il conviendra de présenter les nouvelles règles en vigueur, de répondre aux questions et objections, et ainsi de faciliter l’adoption par tous de la nouvelle politique sécuritaire.
Vidéos, quizz, mises en situation… tout est possible ! A vous de trouver la bonne pédagogie pour capter l’attention de vos équipes et les sensibiliser à cette question.
Dans le cas d’une grande hétérogénéité d’accès aux données personnelles, il est stratégique de prévoir des formations complémentaires plus poussées pour les collaborateurs ayant un niveau d’accès supérieur aux données personnelles.
Documenter
Documenter
A l’appui de cette formation il est souhaitable de constituer une documentation listant les bonnes pratiques de sécurisation des données et les questions courantes. Ces plaquettes doivent être ludiques, claires accessibles, et mises à jour en cas de besoin.
Rédiger une charte informatique est aussi un très bon réflexe. Tout en étant adaptée aux activités et métiers de vos collaborateurs, elle peut comprendre :
- Le rappel des règles de sécurité que votre entreprise a adoptées suite à sa mise en conformité RGPD (ne pas installer de logiciel, verrouiller son ordinateur quand on quitte son poste de travail, ne pas communiquer ses identifiants/ mots de passe
- L’obligation de signaler une éventuelle fuite de données au service informatique
- Les interdictions / recommandations en cas de travail en mobilité, à domicile etc.
Afin de donner du poids à cette charte, il est possible de l’annexer au règlement intérieur de l’entreprise. Devenue ainsi obligatoire, sa violation peut alors entraîner des sanctions.
Responsabiliser
Responsabiliser
Evidemment, aucune action de sensibilisation à la sécurisation des données personnelles ne peut porter ses fruits tant que l’on ne responsabilise pas les collaborateurs.
Il est possible d’inclure des clauses de confidentialité spécifiques dans les contrats de travail (cette clause de confidentialité porte alors spécifiquement sur les données personnelles).
Il peut être judicieux aussi de demander à ses collaborateurs de faire signer à chaque prestataire extérieur un document portant sur la confidentialité des données de celui-ci. En étant co-signataire avec son interlocuteur, le collaborateur s’engage à une grande vigilance, et s’engage personnellement à la sécurisation des données informatiques qu’il manipule.
Suivre/ contrôler
Suivre/ contrôler
In fine, la sensibilisation de ses collaborateurs à la sécurité des données doit s’inscrire sur du long terme. Les pratiques et habitudes de travail présentent une forte inertie !
Cette résistance au changement et à l’adoption des bonnes pratiques suppose donc des actions de suivi et de contrôle.
Ponctuellement il conviendra de vérifier que les bonnes pratiques sont intégrées et suivies au quotidien. La connaissance de la charte informatique par les collaborateurs peut aussi être évaluée.
Renouveler les procédures en cas de besoin, rédiger des notes régulièrement, les diffuser par mail, questionner les blocages et les évolutions métiers… tout ceci fait partie de la phase du suivi/ contrôle en matière de sensibilisation à la confidentialité des données.
Votre porteur de projet RGPD (ou le DPO si votre entreprise en a nommé un) doit être le moteur de ce changement. Par conséquent il doit être joignable facilement par les collaborateurs, surtout dans les premiers mois de mise en conformité. Nombreuses sont les questions, nombreuses seront les réponses !
Les collaborateurs doivent avoir le réflexe de solliciter le chef de projet RGPD en cas de doute. Son énergie et son enthousiasme participeront grandement au succès de ce travail de sensibilisation !
Conclusion
Conclusion
Se mettre en conformité pour garantir la protection des données sensibles dans son entreprise est une obligation, mais les moyens de sensibilisation de vos collaborateurs vous appartiennent…
Patience et pédagogie vous seront utiles pour amorcer ce grand changement dans la sécurisation des données !
Par ailleurs, si vous pensez être en totale conformité avec la RGPD, nous vous invitons à lire notre article sur les failles RGPD que constituent les copieurs. Vous devriez être surpris ! Qui a dit que la RGPD était un long fleuve tranquille?