#Chronique – RGPD : n’oubliez pas de former vos employés !

Intégrer le RGPD dans la vie quotidienne d’une entreprise est loin d’être évident.

Sensibiliser les employés au RGPD et les former à l’intégrer dans leur travail quotidien est un élément clé du processus. Il y a plusieurs raisons à cela.

Les employés sont en première ligne dans la collecte, le traitement et la gestion des données.

Souvent, sans formation adéquate, les employés ne savent même pas qu’ils traitent des informations qui, sous le régime du RGPD, sont considérées comme étant des données à caractère personnel et sont donc soumises à un traitement spécial. Pour bien faire les choses, ils doivent non seulement adopter des pratiques conformes au RGPD, mais plus fondamentalement, ils doivent être en mesure d’identifier les informations de base qui sont régies par le RGPD. 

De plus, le RGPD introduit une nouvelle dimension de risque pour l’entreprise : le risque lié à la réputation. Ainsi, une entreprise jugée non conforme court non seulement le risque d’être condamnée à de lourdes amendes, mais elle risque aussi et surtout de perdre la confiance de ses clients, consommateurs et partenaires. Les employés sont les garants de la fiabilité de l’entreprise et, comme il ne s’agit pas d’une question banale, il est impératif que les pratiques des employés soient les plus rigoureuses possible.

A titre d’exemple, une personne concernée qui téléphone à l’entreprise pour exercer son droit d’accès appellera à coup sûr le standard téléphonique de l’entreprise. Par conséquent, il est crucial que les employés qui répondent à l’appel reconnaissent qu’il s’agit d’une demande d’accès gouvernée par le RGPD et la transmettent immédiatement aux personnes responsables au sein de l’entreprise. Dans le cas contraire, cela peut donner lieu à une plainte auprès des autorités de contrôle, ainsi qu’à une mauvaise publicité. Reconnaître rapidement une violation de données à caractère personnel devrait également être à la portée de la majeure partie des employés. Mais sans formation appropriée, les demandes d’accès seront certainement mal comprises par le standard et les violations tarderont à être perçues comme telles, ce qui entraînera le non-respect des exigences énoncées dans le RPDP.

L’octroi de formations signifie qu’il y a développement des compétences au sein de l’entreprise et les compétences sont mesurables.  Une formation assortie d’une évaluation quantifiable produira des données métriques. Ceci permettra de suivre les progrès effectués par les employés, d’identifier les domaines à améliorer et de démontrer au demeurant la conformité au RGPD. En effet, la capacité pour une entreprise de pouvoir démontrer les actions menées au cours de son cheminement vers un état de conformité optimal est un élément essentiel du RGPD. Le fait d’être en mesure de fournir des preuves documentant les progrès de la formation et le niveau de compétence du personnel pèsera lourd dans la balance, si une entreprise est mise en cause dans ses pratiques de gestion des données personnelles.

A tout le moins, tous les employés devraient avoir une formation de base sur le sujet du RGPD. Cela dit, une formation plus approfondie et plus ciblée devra être conçue pour des fonctions ou des rôles spécifiques.

Pour que la formation soit efficace, il faut envisager une combinaison de différentes approches pédagogiques, y compris une diffusion via de multiple canaux. Ateliers, formations individuelles, cours interactifs sur le Web, manuels spécifiques à une fonction, webinars, vidéos d’information ne sont que quelques-unes des options possibles.

Enfin, pour préserver sa place prépondérante, toute formation devra être appuyée par des programmes de sensibilisation constants, comme des affiches et posters, des « town hall » meetings ou encore des activités récréatives lors de la Journée mondiale de la protection des données.

On l’aura compris, l’intégration du RGPD dans la vie quotidienne d’une entreprise revient à effectuer un changement organisationnel radical. Les données à caractère personnel doivent être traitées d’une manière qui réponde aux impératifs du RGPD et ce, jusqu’au niveau de l’employé individuel. Le RGPD vise à changer la façon dont les entreprises perçoivent les données. Et ceci implique de changer la façon dont les employés perçoivent les données. Une bonne formation sur le RGPD est donc la pierre angulaire du nouvel état d’esprit que requiert le RGPD.