La sensibilisation RGPD des équipes : pourquoi chaque collaborateur doit y prêter attention.

La sensibilisation du personnel au RGPD est une étape obligatoire pour une mise en conformité réussie. Elle vise à impliquer et à responsabiliser tous vos collaborateurs dans la protection des données personnelles. 

Chacun, à son échelle, dans le cadre de ses différentes activités, collecte et exploite des données. 

Alors quels aspects du RGPD faut-il aborder ? Quelles méthodes de sensibilisation RGPD  faut-il adopter ?

Pourquoi sensibiliser le personnel au RGPD ?

‍

Pour éviter les violations de données

Chaque collaborateur peut être amené à traiter des données personnelles dans ses tâches quotidiennes : gestion des clients, ressources humaines, contractualisation avec des fournisseurs ou des sous-traitants, etc.

Ces interactions sont le terreau fertile pour compromettre la confidentialité, la disponibilité ou l’intégrité des informations qui vous sont alors confiées.

Les exemples de violations de données sont nombreux : suppression accidentelle des données non sauvegardées, perte d’une clé USB contenant une copie d’une base de données, accès non autorisé à un fichier, etc.

Pour éviter les sanctions 

Qu’il soit intentionnel ou accidentel, le manquement aux prescriptions du RGPD vous expose à des sanctions : 

• Pécuniaires : paiement d’amendes administratives allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel ;
• Non-pécuniaires : avertissement, mise en demeure, injonction sous astreinte, suspension de flux de données, rectification, limitation ou effacement de données, etc.

La connaissance des risques en cas de non-respect du RGPD incite davantage les collaborateurs à rester vigilants dans la gestion des données personnelles. 

‍

Les trois principes clés du RGPD sur lesquels sensibiliser vos équipes

Vous vous doutez bien que vos équipes n’ont pas à retenir toutes les subtilités du RGPD. L’essentiel est qu’elles comprennent trois principes clés.

Licéité, loyauté et transparence

Le traitement des données à caractère personnel doit se faire de manière licite, loyale et transparente au regard de la personne concernée. Cela implique les obligations suivantes : 

• Licéité : le recueil et le traitement de données se fondent obligatoirement sur une des bases légales prévues par le RGPD (par exemple, le consentement, l’intérêt légitime ou l’exécution d’un contrat pour les plus répandus en entreprise) ;
• Loyauté et transparence : la collecte et le traitement des données s’effectuent dans des conditions respectueuses des informations transmises à la personne concernée.

Limitation des finalités

Le principe de la limitation des finalités suppose que les données soient collectées pour des objectifs spécifiques, explicites et légitimes. Ce principe interdit au responsable de traitement (et donc à ses collaborateurs sur le terrain !) d’utiliser les données dans d’autres objectifs que ceux pour lesquels elles ont été collectées.

On observe 3 types de conséquences pour vos équipes.

Surveillance de l’usage des données confiées :

‍

Une fois que les données ont été collectées pour des finalités spécifiques, elles ne doivent pas être utilisées à des fins autres que celles qui ont été initialement établies, à moins que cela ne soit explicitement consentie par la personne concernée. Par exemple, si les données ont été collectées pour la livraison d'un produit, elles ne doivent pas être utilisées pour un marketing non sollicité sans consentement.

‍

Process de conformité :

‍

Si l’équipe se rend compte que les données sont utilisées d'une manière incompatible avec les finalités initiales, une personne référente, comme le DPO doit en être informée pour corriger cet écart. 

‍

Droit des individus :

‍

Les personnes dont les données ont été recueillies ont le droit d'être informées des finalités de la collecte et du traitement de leurs données. Il convient aussi de préparer vos équipes à répondre à toute demande d'exercice de droit. 

‍

Minimisation des données

Le principe de minimisation oblige à ne collecter que les données nécessaires, c’est-à-dire pertinentes, adéquates et limitées au regard de la finalité poursuivie. 

Concrètement, ne récoltez pas des données qui ne sont pas nécessaires (exemple : ne pas demander l’adresse postale alors que le mail est suffisant) et réduisez le périmètre de l’information demandée (exemple : demander le domaine d’activité au lieu du métier).

‍

Comment sensibiliser efficacement les salariés au RGPD ?

La sensibilisation des collaborateurs au RGPD est une obligation légale. Cependant, n’hésitez pas à apporter de la créativité pour marquer l’esprit de vos équipes.

Formation et ateliers sensibilisation RGPD

Formation en présentiel : elle est idéale pour informer sur les grands principes du RGPD. Elle peut être animée dans les locaux de votre entreprise par le DPO interne ou externe, les avocats de chez Bold, des spécialistes de la Privacy ou des consultants. 

e-learning : la CNIL a publié divers MOOCs et fiches thématiques pour sensibiliser et former au RGPD. Ils sont généralement plus engageants que les formations classiques dans la mesure où ils incluent généralement des évaluations sous forme de quizz en fin d’apprentissage. 

Atelier pratique : vous pouvez personnaliser l’atelier en fonction des différents services afin que chaque collaborateur maîtrise les bonnes pratiques adaptées à son service. L’animateur peut donner des exercices et des simulations permettant aux collaborateurs de mettre en pratique les théories RGPD. Cette forme de sensibilisation peut s’avérer très efficace. 

Il est important de faire des piqûres de rappel de manière régulière puisque les réglementations internes et les besoins de votre entreprise peuvent évoluer. 

Supports et outils de sensibilisation RGPD

Pour choisir des supports pertinents, il est recommandé de prendre en compte les spécificités de votre entreprise. Vous devez notamment : 

• Évaluer les besoins de votre entreprise : tenez compte de votre secteur d’activité, sa taille, les données traitées, votre niveau actuel de conformité au RGPD ;
• Déterminer le public cible de la sensibilisation : l’approche à adopter peut différer d’un service à un autre. 

Le véritable objectif est de choisir le bon format, de vulgariser des concepts parfois difficiles à comprendre, pour inculquer une culture RGPD à tous les niveaux de l’entreprise.

Le rôle de l’avocat dans la sensibilisation RGPD

L’avocat RGPD est un acteur clé pour la mise en conformité de votre entreprise. Il agit non seulement en tant que conseiller juridique, mais aussi comme pédagogue au sein de votre équipe : 

‍

• clarification des normes RGPD : l'avocat simplifie le cadre réglementaire complexe pour que chaque membre de l'équipe comprenne ses responsabilités en matière de protection des données ;

‍

• formation continue : par des sessions de formation régulières, l'avocat maintient les équipes à jour sur les meilleures pratiques de gestion des données et les évolutions législatives.

‍

• encouragement de l'adhésion : l'avocat motive les employés à adopter des comportements qui renforcent la conformité RGPD, en montrant comment leurs actions individuelles contribuent à la sécurité globale de l'entreprise.