Il y a six mois, l’Union européenne enclenchait la mise en application du Règlement général sur la protection des données (RGPD). Dans l’intervalle, le RGPD a eu une influence importante sur les entreprises et les nations à l’échelle du globe alors que d’autres règlements semblables ont été introduits. La formation selon le rôle, sur la façon de traiter des données personnelles ou clients est une priorité pour les responsables de la protection de la vie privée partout dans le monde.
6 mois d’application du RGPD
Le RGPD a été finalisé en mai 2016 par l’Union européenne afin de mieux protéger la vie privée et les données personnelles des résidents de l’UE et leur donner le contrôle de leurs données. Toutefois, son application n’a été mise en œuvre que le 25 mai 2018. Les organisations qui gèrent des données personnelles de résidents de l’UE – ou qui traitent des données personnelles au sein de l’UE – avaient donc deux ans pour mettre à jour leurs TI, leurs systèmes de sécurité et de protection des données et leurs processus afin d’appuyer le règlement et répondre aux exigences de conformité.
Pourtant, malgré ces deux années de sursis, une étude publiée un mois avant la date de mise en application a démontré que seulement 40 % des répondants s’attendaient à être conformes le 25 mai 2018. 60 % des répondants ont indiqué que le RGPD avait considérablement changé leur entreprise.
Dans les 37 jours qui ont suivi le 25 mai, plus de 3 800 réclamations ont été déposées dans seulement 18 des 28 états membres de l’UE. Dans les mois suivants, le nombre de plaintes a augmenté pour atteindre des dizaines de milliers. Des brèches supplémentaires ont également été rapportées et sont soit portées en appel ou toujours en cours d’examen.
Selon Laraine Weglarz, ancienne responsable de la sécurité des systèmes d’information d’une entreprise de détail de plusieurs milliards de dollars et aujourd’hui coach pour les CISO, consultante et experte du RGPD chez Terranova, les amendes en vertu du RGPD seront efficaces pour entraîner des changements chez certaines entreprises, mais pour d’autres, il s’agira tout au plus d’une simple tape sur les doigts. « Les grosses entreprises pourraient choisir de s’« auto-assurer » en ce qui a trait au RGPD et être disposées à payer les amendes, indique Weglarz. Plusieurs entreprises vont continuer à faire l’analyse coûts/bénéfices. Si votre entreprise a un revenu annuel extrêmement élevé une amende de 4 % pourrait ne pas représenter grand-chose pour vous. Le fait d’ajouter des sanctions en plus des amendes permettra peut-être de faire bouger ces gros joueurs. »
Malgré le manque de préparation et l’absence d’amendes émises à ce jour, le RGPD a montré son efficacité pour redonner aux individus le contrôle de leurs données personnelles, en plus de servir d’exemple à travers le monde. Des pays à l’extérieur de l’UE, y compris la Chine et l’Inde, ont mis en place leur propre règlementation en matière de protection de la vie privée et 40 des 50 états américains ont initié une législation à cet effet.
Cette efficacité a également eu un impact sur le fonctionnement des entreprises. Par exemple, le RGPD a fondamentalement modifié la façon dont les équipes de marketing recueillent, entreposent et partagent (ou pas) les données personnelles. Cet article paru dans MarTech Advisors souligne les défis que le RGPD représente pour les organisations de marketing en ce qui a trait au consentement et à la collecte de données, à leur entreposage, la préparation de rapports et la gestion d’employés rebelles qui conservent des données de clients sur leurs ordinateurs portables ou autres appareils.
Prochaine étape – RGPD selon les rôles
Comme le RGPD touche tous les départements d’une entreprise, les organisations doivent s’assurer que leurs employés sont formés selon leurs rôles spécifiques.
« Chaque employé doit connaître les bases de ce que représente le RGPD pour l’entreprise et c’est là où plusieurs entreprises ont commencé. Un essai gratuit d’un module de formation RGPD est aussi une bonne façon de commencer. La prochaine étape est de s’assurer que les employés comprennent l’impact du RGPD sur leurs tâches et la façon dont ils doivent traiter les données des clients ou à caractère personnel », précise Weglarz.
C’est en passant à l’étape suivante, la mise en œuvre d’une formation sur le RGPD selon les rôles, que vous pourrez prioriser les employés à former en fonction du risque, du besoin et de l’impact. Nous vous suggérons de commencer par les éléments de la liste suivante, sachant que le niveau de préparation au RGPD est différent d’une organisation à l’autre.
TI et programmeurs/développeurs. Ces employés devraient être formés en premier parce que le RGPD exige que les développeurs intègrent la « protection des données dès la conception et par défaut ». Ils peuvent également aider les départements à déterminer où sont entreposées les données personnelles, comment elles sont traitées et qui y a accès (des étapes clés pour répondre aux exigences de conformité au RGPD). Leur rôle est également déterminant pour mettre à jour les technologies de marketing et d’autres applications qui doivent être modernisées pour permettre plus de contrôle de la part des individus.
L’ensemble des gestionnaires. Les gestionnaires doivent avoir une bonne compréhension de l’impact du RGPD sur leur rôle et l’entreprise. Ils doivent comprendre que leur façon de manipuler les données affecte d’autres départements qui travaillent avec les mêmes données.
Ressources humaines. L’équipe des RH a accès à certaines des données les plus sensibles. Bien que ses membres soient formés pour opérer dans la plus stricte confidentialité, le RGPD exige que certains types de données soient traités de façon particulière pendant leur séjour dans le système.
Ventes et marketing. Les équipes de ventes et marketing sont fréquemment appelées à traiter des données clients et à y accéder lors de contacts en personne ou en ligne. Ces employés sont également souvent responsables d’informer les clients des politiques et procédés concernant la manipulation de leurs données. Une composante clé de la conformité au RGPD consiste à s’assurer que ce groupe d’employés est bien informé et garde à l’esprit les politiques du RGDP.
Achats. L’équipe des achats travaille avec des contrats et autres documents légaux, en plus d’avoir une fonction de vérification. Elle doit donc comprendre les exigences concernant la manipulation de types spécifiques de données personnelles. Que ce soit pour la rédaction de contrats ou la sous-traitance de services à un fournisseur, il est important d’intégrer la notion de protection des données personnelles et de l’entreprise (dans le cas de la sous-traitance).
Personnel de centres d’appels. Tout comme les équipes de ventes et marketing, le personnel de centres d’appels et de soutien a accès à des informations personnelles, y compris des données de cartes de crédit, noms, adresses, courriels et plus. Ces employés sont souvent localisés à travers le monde pour offrir un soutien 24/7. Il est impératif qu’ils sachent comment manipuler les données de façon appropriées afin d’être conforme au RGPD.
Alors que des règlements semblables au RGPD se développent à l’extérieur de l’UE, les entreprises doivent améliorer leur compréhension des règles de manipulation des données personnelles. Des zones grises demeurent au sein de la règlementation. Elles seront clarifiées à mesure que les cas sont traités en cours et que les amendes sont imposées et payées. Une formation en continu selon les rôles permettra à votre équipe de se tenir informée et d’opérer à l’intérieur des directives règlementaires en ce qui a trait à la manipulation des données privées.
Pour des informations pratiques que vous et votre équipe devez connaître afin de protéger les personnes, les données personnelles et votre organisation, téléchargez ce livre blanc et apprenez-en davantage sur:
– Qu’est-ce que le RGPD
– Pourquoi les organisations devraient-elles se conformer au RGPD
– Les implications du RGPD pour votre organisation
– Les nombreux avantages pour votre organisation et vos employés