par Paul McCormack
Le RGPD est en vigueur depuis maintenant plus d’un an. En quoi le paysage de la conformité a-t-il changé? À quoi les organisations peuvent-elles s’attendre au cours des mois à venir?
Le Règlement général sur la protection des données (RGPD) représentait l’un des plus importants sujets dans le domaine des technologies en 2018. Alors, où en sommes-nous actuellement par rapport à cette question? Les organisations doivent comprendre l’incidence de la réglementation sur les entreprises, où en est l’application de cette réglementation et, en ce qui concerne le RGPD et les RH, quels outils sont à la disposition d’un service pour éviter d’enfreindre la réglementation.
De nombreuses organisations ont encore du mal à accepter le RGPD et ses répercussions. En guise de rappel, le RGPD remplace la directive de l’UE sur la protection des données. Même si le RGPD était destiné à créer une cohérence entre les 28 états membres de l’UE, il existe aujourd’hui des différences dans la manière dont les autorités chargées de la protection des données personnelles choisissent d’interpréter et d’appliquer la réglementation.
RGPD – Historique en bref
Si vous vous sentez désorienté en ce qui a trait au RGPD, vous n’êtes pas seul. « Nos clients nous ont posé beaucoup de questions pour mieux comprendre ce que nous avons fait chez ADP en ce qui concerne la mise en œuvre et l’application du RPGD au sein de notre organisation », a déclaré Cécile Georges, responsable mondiale de la confidentialité chez ADP. « Le RGPD fait visiblement partie de la liste de vérification de nombreux clients. Ils veulent s’assurer que nous pouvons les aider à s’y conformer. »
De plus, la façon dont le RGPD est appliqué demeure floue. Selon un récent rapport de la firme DLA Piper, les autorités de réglementation ont été informées d’environ 59 000 violations de données personnelles, parmi lesquelles uniquement 91 ont donné lieu à des amendes. Jusqu’à présent, la CNIL, l’organisation française de réglementation des données, a imposé l’amende la plus notable à une entreprise de technologie qui n’a pas adéquatement informé les utilisateurs sur la façon dont elle personnalise le référencement payant en fonction de leurs données.
En raison du nombre limité de précédents et d’une application clairsemée, nous assisterons sans aucun doute à l’imposition d’un nombre croissant d’amendes tandis que les autorités de réglementation de l’UE étudient les dossiers en attente. « Les autorités de réglementation mettront du temps à déterminer quelles plaintes sont sérieuses et justifiées, à mener une enquête sur ces dernières, puis à imposer d’éventuelles amendes », ajoute Mme Georges.
Une méthode de transfert de données approuvée
Compte tenu du manque de mécanismes d’application de la loi, un changement de cette ampleur au sein du paysage réglementaire suscite beaucoup de réserve et d’inquiétude. Par conséquent, certaines entreprises peuvent ne pas savoir comment demeurer conformes au RGPD; il se peut qu’elles ne disposent pas du personnel, de la technologie ou des processus nécessaires pour promouvoir et assurer la conformité. Cela peut être particulièrement problématique lorsqu’il est question des interactions entre le RGPD et les RH, car il est souvent nécessaire de transférer des données protégées par la réglementation en dehors de l’UE.
En fonction de l’empreinte des activités de votre organisation, des règles d’entreprise contraignantes (REC) sont susceptibles de vous aider. Les REC sont des politiques d’entreprise qui régissent les transferts de données internes au sein d’un groupe d’entreprises de la même société mère.
Pour mettre en place des REC, celles-ci doivent d’abord être approuvées par les autorités européennes de réglementation de la protection des données. En outre, les REC doivent être conformes aux exigences du RGPD, notamment en ce qui concerne la transparence, la sécurité et le caractère licite du traitement des données.
À ce titre, les organisations qui souhaitent appliquer les REC doivent investir dans des processus et des technologies afin de s’assurer que les transferts de données internes sont effectués de façon conforme au RGPD et aux principes liés aux REC. « Nous avons mis en œuvre des REC pour permettre le transfert de données personnelles vers n’importe quel emplacement en dehors de l’UE sans devoir consulter de multiples contrats afin de documenter ces transferts », a déclaré Mme Georges. « ADP s’engage fermement à se conformer aux exigences du RGPD grâce à la mise en œuvre de REC relatives au traitement de toute donnée personnelle, qu’il s’agisse de données d’employés de nos clients, de personnes-ressources de l’entreprise ou de nos propres employés. »
Les avantages de l’impartition
Compte tenu des défis inhérents à la conformité au RGPD, de nombreuses entreprises se tournent vers les fournisseurs de solutions de gestion du capital humain (GCH) pour obtenir de l’aide. Dans la mesure où une entreprise peut ne pas disposer de l’expertise ou des ressources techniques nécessaires pour se conformer au RGPD, l’impartition du traitement des données de RH à un fournisseur de solutions infonuagiques de GCH peut réduire de façon importante le fardeau lié à la conformité. »
Par exemple, un fournisseur de GCH pourrait être responsable d’aider au transfert de données personnelles hors de l’UE et de documenter certaines des mesures relatives à la conformité.
Bien que la conformité au RPGD pose un défi de taille, ce problème d’apparence insurmontable devient bien plus facile à gérer avec l’aide du partenaire de GCH approprié.
En savoir plus sur le RGPD et son incidence en ce qui concerne les RH et la paie.