Publications

Pourquoi former ses collaborateurs à la protection des données personnelles ?

Publié le 21 novembre 2022
formation rgpd obligatoire

La ressource humaine est le fer de lance de toute entreprise qui souhaite prospérer dans le temps. Mais il faudrait encore préciser : une ressource humaine de qualité !

Or, la qualité passe indubitablement par la formation continue des collaborateurs aux nouveaux enjeux liés à leurs métiers mais également et surtout aux nouvelles obligations de conformité auxquelles les entreprises sont de plus en plus confrontées et dont le non-respect est parfois susceptible de remettre en cause leurs activités.

L’une de ces obligations de conformité règlementaire – et de loin celle qui donne du fil à retordre aux entreprises – est la conformité à la règlementation applicable à la protection des données personnelles.

Et pour cause ! La formation des collaborateurs à la protection des données personnelles est l’une des conditions sine qua non de cette conformité. C’est d’ailleurs pour cette raison qu’elle est souvent perçue comme un impôt supplémentaire. Pourtant, à y voir de plus près les entreprises ont tout à gagner à considérer cette obligation, non pas comme une corvée légale, mais comme un véritable gage de sécurité pour leurs business et un investissement à long terme pour une conformité pérenne de l’entreprise.

1. Une condition sine qua non de la conformité

Avant toute chose, il est important d’indiquer que l’obligation de former ses collaborateurs à la protection des données personnelles est une des nombreuses obligations prévues par le Règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018 et qui constitue le texte de référence en la matière.

En effet, dans son article 39 qui détaille les missions du délégué à la protection des données (DPD en français et DPO pour Data Protection Officer en anglais), le texte indique qu’il est de son devoir de « contrôler le respect du présent règlement […] et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ».

Si le RGPD ne précise pas la manière dont cette sensibilisation et formation RGPD doit se faire, l’on peut imaginer que toutes les formes de dispense de formations « classiques » sont autorisées : formation intra-entreprise, formation inter-entreprises, formation en présentiel, e-learning, webinar, etc. L’avantage de la multiplicité de ces méthodes de formation est qu’elles s’adaptent aux différents acteurs de l’entreprise, aux sujets sur lesquels ils doivent être formés et, surtout, au budget, que les entreprises veulent engager en la matière.

Le RGPD ne précise pas non plus qui doit faire l’objet de cette formation exactement, à part indiquer qu’il doit s’agir du « personnel participant aux opérations de traitement ». De manière purement opérationnelle, et pour appliquer au mieux cette directive très large, l’on privilégiera dans un premier temps l’aspect « sensibilisation » de l’article du RGPD en préconisant une sensibilisation générale de l’ensemble des collaborateurs, pour ensuite se focaliser sur la « formation » des acteurs clefs de l’entreprise.

En matière de sensibilisation, les grands régulateurs du domaine de la protection des données et de cybersécurité ont privilégié le e-learning en publiant des MOOC disponibles gratuitement sur leur site internet et à destination du plus grand nombre. D’un côté le MOOC de la Commission nationale de l’informatique et des libertés (CNIL) est de retour depuis le 27 juin 2022 dans une nouvelle version enrichie et d’un autre côté l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a également rendu disponible depuis le 1er juillet 2021 une nouvelle version de sa plateforme SecNumacadémie dédiée à l’initiation à la cybersécurité.

En matière de formation, il s’agit dans un premier temps d’identifier les acteurs de l’entreprise pour lesquels il est nécessaire d’aller au-delà d’une simple sensibilisation. Le délégué à la protection des données, si l’entreprise en a désigné un, est bien évidemment l’acteur prioritaire à former puisque ce dernier doit disposer de « connaissances spécialisées du droit et des pratiques en matière de protection des données ».

Des fonctions au sein de l’entreprise qui sont amenées à être des acteurs clefs dans les principaux traitements de données personnelles comme les collaborateurs du service des ressources humaines, du service en charge des actions de marketing ou de suivi de clientèle ou encore du service informatique sont aussi des cibles à considérer pour une formation RGPD certifiante plus approfondie en matière de protection des données.

N’oublions pas non plus certains secteurs dont le cœur d’activité consiste en la manipulation de données « sensibles » comme par exemple le secteur de la santé (hôpitaux, cliniques, associations, mutuelles, assurances) pour lesquels il est indispensable de s’assurer que leur formation est adéquate à la sensibilité des données traitées (plus d’information dans cet article health data hub).

Au regard de tout ce qui précède, la formation des collaborateurs à la protection des données personnelles est donc un passage obligatoire vers la conformité applicable à la protection des données personnelles mais également un véritable gage de sécurité pour l’entreprise. Explications ci-dessous.

2. Un gage de sécurité pour l’entreprise

Outre l’obligation légale que constitue la formation des collaborateurs, la formation est aussi considérée comme étant une des mesures de sécurité organisationnelle requise par le RGPD.

En effet, l’obligation de sécurité appropriée des données à caractère personnel est un des principes fondateurs du RGPD et doit passer par des « mesures techniques ou organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Or, tous les experts en sécurité des systèmes d’information s’accordent aujourd’hui pour reconnaître que le principal risque en matière de sécurité est le facteur humain. Ainsi, plus les collaborateurs sont sensibilisés et/ou formés à la protection des données personnelles de manière générale et aux règles d’hygiènes en matière de sécurité et plus le risque de compromission du système d’information diminue considérablement.

L’on dit souvent qu’une chaîne a la force de son maillon le plus faible et c’est ici facile à illustrer : prenons par exemple un des cauchemars actuels des services informatique qui est celui de l’ouverture d’un email (et d’une pièce jointe) par un salarié de l’entreprise, dans lequel se trouve un virus (bien souvent un ransomware) qui infecte ainsi tout le système informatique. Si ces virus ne sont pas nouveaux, leur multiplication et impact sur les données personnelles figurant dans les systèmes d’information de l’entreprise deviennent de plus en plus importants. Seule une sensibilisation à minima, ou si possible une formation en matière de sécurité informatique, permet d’endiguer dès le départ ce phénomène car si vos collaborateurs ont conscience des sources de menaces ainsi que les risques associés à ces menaces, ils n’auront aucun mal à avoir les bons réflexes pour protéger le patrimoine informationnel de votre entreprise.

Un autre exemple qui peut être donné est celui de la « violation de données à caractère personnel », plus connue sous son appellation anglaise de « data breach », qui est la concrétisation d’une faille de sécurité affectant des données personnelles au sein de l’entreprise. En effet, le RGPD impose désormais une série d’actes à accomplir en cas de violation de données personnelles dont la notification de la violation à la CNIL et/ou aux personnes concernées selon leur niveau de risques sur les droits et libertés des personnes concernées. L’accomplissement de ces actes nécessite la mise en place en amont d’une procédure dédiée à la gestion des violations de données et la sensibilisation de l’ensemble des collaborateurs à la mise en œuvre efficace de cette procédure afin de permettre à votre entreprise de contenir la violation de données et de limiter les conséquences notamment en termes d’image.

La formation des collaborateurs à la protection des données personnelles ne sera donc jamais une peine perdue pour votre entreprise mais un investissement à long terme qui vous permettra de garantir la conformité de votre entreprise dans le temps.

3. Un investissement à long terme pour la pérennité de la conformité de l’entreprise

Au-delà de l’avantage clef de la formation de vos collaborateurs en matière de sécurité des données personnelles, cette formation permet aussi à l’entreprise de rester en conformité à la règlementation de manière

En effet, une fois les principales obligations du RGPD mises en place dans l’entreprise (établissement du registre, mise en place des politiques et procédures requises par le principe accountability RGPD, sécurisation des systèmes d’information, formation du personnel) il convient d’en assurer l’application et l’adaptation dans le temps avec les évolutions de l’entreprise.

Quel que soit le niveau de conformité de votre entreprise à la règlementation sur la protection des données, que ce soit le RGPD, la loi Informatique et liberté ou d’autres règlementations françaises ou européennes en la matière, il est important de garder en tête que la pérennité de votre conformité dépend de vos collaborateurs car de nouveaux projets seront initiés, de nouveaux traitements seront mis en œuvre et devront également être conformes à la règlementation applicable à la protection des données.

Inculquer régulièrement aux collaborateurs les bons réflexes et les bonnes pratiques à travers la sensibilisation et les formations, c’est les impliquer en amont de chaque projet et ainsi appliquer un autre principe cher pour un expert RGPD : le Privacy by Design et by default.

En effet, le Privacy by Design ou la prise en compte de la protection des données dès la conception (d’un projet, d’un traitement de données, d’un logiciel, d’une base de données, etc.) et la mise en place de mesures techniques et organisationnelles pour assurer par défaut la sécurité des données traitées ne peuvent se faire sans sensibiliser les collaborateurs : tous les acteurs du projet doivent avoir le même niveau d’information en la matière pour permettre une conformité homogène de l’entreprise.

Par ailleurs, la sensibilisation de l’ensemble des collaborateurs et la formation de certains d’entre eux aux règles fondamentales de protection des données et à l’hygiène informatique afin d’assurer la sécurité des données traitées par l’entreprise permet également de les préparer à aborder sereinement tout contrôle de l’autorité de contrôle en la matière mais permet aussi d’en faire un avantage concurrentiel.

Enfin, tout comme la conformité, la sensibilisation et la formation des collaborateurs doit constituer un effort constant de l’entreprise. Ainsi, une fois les fondamentaux ancrés dans l’esprit des collaborateurs et surtout dans leurs habitudes, il convient d’effectuer quelques piqûres de rappel de manière périodiques à l’aune de l’évolution des grands sujets en la matière et qui touchent leurs secteurs d’activités. Beaucoup d’entreprise se prévalent aujourd’hui d’une conformité RGPD parce qu’ayant mis en place quelques politiques et procédures RGPD. Or, c’est l’application effective de ces politiques et procédures par les collaborateurs, bien plus que leur mise en place, qui leur assura un excellent niveau de conformité dans le temps.

N’attendez donc plus, sensibilisez et formez vos collaborateurs à la protection des données personnelles, il y va de la survie et de la croissance de votre entreprise !

Par Elvis d’Almeida