L'impact interne du RGPD

 
 

L’impact interne du Règlement Général sur la Protection des Données (RGPD)

 
 

A partir de mai 2018, il ne vous faudra pas tenir compte seulement des données

Nous savons tous que le RGPD arrive. Bientôt. Mais saviez-vous qu’il aurait aussi un impact sur les données personnelles de vos collaborateurs, tout comme sur celles de vos ?   De nombreuses entreprises concentrent leurs plans pour le RGPD sur les données des ; mais à partir de mai prochain, votre personnel aura lui aussi les mêmes droits. Ainsi, tous ces fragments de données personnelles que vous rassemblez sur vos collaborateurs – stockés dans différents systèmes et tableurs – pourraient être demandés à n’importe quel moment. Seriez-vous en mesure de répondre à une telle demande ?   Lorsque vous songez à la quantité de données personnelles que vous-même générez au cours de votre carrière, il se peut que cela vous alerte. Mais par où les entreprises doivent-elles commencer ?   La première question à se poser est : « en quoi consistent exactement les données personnelles des salariés » ? Vous devez savoir ce que vous recherchez. Au-delà des évidences – nom, adresse, date de naissance, statut marital, tranche d’imposition, etc. –, vous détenez probablement aussi des informations sur leur historique de rémunération, leurs avantages sociaux, leur statut de visa, leur permis de conduire et bien plus encore.   Réfléchissez-y en pensant au « cycle de vie d’un salarié ». Avant leur entretien, ils auront envoyé quelque chose – un CV, un formulaire de candidature, une lettre, peut-être un test. Ces documents contiennent des données personnelles. Et lorsqu’ils sont venus vous voir, avez-vous enregistré une pièce d’identité ? Tout ceci peut être demandé dans le du RGPD.   Tandis que les collaborateurs progressent dans leur carrière, vous accumulez encore bien plus de données personnelles. Formations, détachements, déplacements internationaux, notes de frais, congé parental, analyse des performances – tout est enregistré quelque part. Avec les nouvelles réglementations, on peut vous demander comment et où vous stockez ces informations.   C’est ici que de nombreuses entreprises sont concernées. Car le plus probable est que les données personnelles se trouvent dispersées à de nombreux endroits – certains digitaux, d’autres physiques. Ces systèmes ne sont sans doute pas liés les uns aux autres ; vous pourriez donc avoir plusieurs versions de la même donnée. Sans parler des dossiers doubles, pièces jointes d’e-mails et impressions que certaines personnes conservent. C’est ainsi un véritable challenge d’obtenir, à échelle de l’entreprise, un aperçu conforme de l’ensemble des données personnelles que vous détenez.   Et même si toutes ces questions sont résolues (tout est en place pour prouver que vous êtes en mesure de localiser les données personnelles si besoin), les choses ne s’arrêtent pas là !   LE RGPD soulève aussi tout une série de questions concernant la sécurité des données personnelles. Comment les protégez-vous au fil du temps ? Comment assurez-vous que seules les personnes habilitées y ont accès ? Comment empêchez-vous tout détournement potentiel de ces données ?   Il y a un souci de conformité encore plus large dont il faut aussi tenir compte. Etant donné que le RGPD est un Règlement de l’Union Européenne, il faut comprendre différents points sur ce qu’il se passe lorsque vous partagez des données relatives à vos salariés avec d’autres territoires.   Chez ADP, nous avons reconnu très tôt que le RGPD impacterait plus que les seules données des consommateurs. C’est pourquoi, en 2016, nous avons soumis aux autorités trois séries de règles d’entreprise contraignantes (ou BCR, pour Binding Corporate Rules), afin d’avoir une bonne gestion du traitement des données personnelles de nos, de nos divers contacts et de nos collaborateurs. Celles-ci sont reconnues comme étant le meilleur moyen d’être en conformité avec le RGPD.   L’un des outils que nos trouvent particulièrement utiles pour se préparer au RGPD est cette carte du cycle de vie du salarié. Elle vous aide à repérer l’endroit où vos données sur les salariés sont actuellement stockées, et à tenir compte des différents scenarios auxquels vous pourriez être confronté(s) dès mai prochain.   Bien que le RGPD ne soit désormais plus très loin, il est encore temps de préparer vos pratiques de gestion des données. Jetez un œil à la carte et contactez-nous si vous désirez savoir comment ADP peut vous aider dans votre programme de mise en conformité.
 
 
A propos de Cécile   Cécile Georges est la Global Chief Privacy Officer (CPO) d’ADP. Depuis décembre 2016, elle dirige l’équipe de Privacy and Data Governance, qui fait partie de l’organisation de Global Compliance. L’équipe donne des conseils ainsi que des directives opérationnelles à l’ensemble des unités organisationnelles d’ADP, et est responsable de l’élaboration ainsi que de la mise en œuvre des programmes de conformité d’ADP à l’échelle de l’entreprise, dans le respect de la protection des informations personnelles. A l’occasion de son précédent poste en tant qu’avocat principal pour la région Asie-Pacifique, Cécile a déménagé de Paris pour Singapour, où elle soutient la croissance régionale d’ADP dans la région Asie-Pacifique. Cécile a rejoint ADP en 1999 et a contribué à mettre en place la fonction légale en France. En 2006, elle a été nommée Directrice Juridique pour l’Europe et fut promue VP, Avocate général Adjoint. En 2011, son d’action a été étendu et elle fut nommée responsable juridique pour la Employer Services International. Cécile s’est toujours concentrée sur le développement d’équipes visant la performance et délivrant d’excellents à l’entreprise et aux d’ADP Cécile est titulaire d’un Magistère (Masters) en Droit des Technologies de l’Information et était avocate au Barreau de Paris.