La sensibilisation du personnel au RGPD est une étape obligatoire pour une mise en conformité réussie. Elle vise à impliquer et à responsabiliser tous vos collaborateurs dans la protection des données personnelles.
Chacun, à son échelle, dans le cadre de ses différentes activités, collecte et exploite des données.
Alors quels aspects du RGPD faut-il aborder ? Quelles méthodes de sensibilisation RGPD faut-il adopter ?
Chaque collaborateur peut être amené à traiter des données personnelles dans ses tâches quotidiennes : gestion des clients, ressources humaines, contractualisation avec des fournisseurs ou des sous-traitants, etc.
Ces interactions sont le terreau fertile pour compromettre la confidentialité, la disponibilité ou l’intégrité des informations qui vous sont alors confiées.
Les exemples de violations de données sont nombreux : suppression accidentelle des données non sauvegardées, perte d’une clé USB contenant une copie d’une base de données, accès non autorisé à un fichier, etc.
Qu’il soit intentionnel ou accidentel, le manquement aux prescriptions du RGPD vous expose à des sanctions :
La connaissance des risques en cas de non-respect du RGPD incite davantage les collaborateurs à rester vigilants dans la gestion des données personnelles.
Vous vous doutez bien que vos équipes n’ont pas à retenir toutes les subtilités du RGPD. L’essentiel est qu’elles comprennent trois principes clés.
Le traitement des données à caractère personnel doit se faire de manière licite, loyale et transparente au regard de la personne concernée. Cela implique les obligations suivantes :
Le principe de la limitation des finalités suppose que les données soient collectées pour des objectifs spécifiques, explicites et légitimes. Ce principe interdit au responsable de traitement (et donc à ses collaborateurs sur le terrain !) d’utiliser les données dans d’autres objectifs que ceux pour lesquels elles ont été collectées.
On observe 3 types de conséquences pour vos équipes.
Surveillance de l’usage des données confiées :
Une fois que les données ont été collectées pour des finalités spécifiques, elles ne doivent pas être utilisées à des fins autres que celles qui ont été initialement établies, à moins que cela ne soit explicitement consentie par la personne concernée. Par exemple, si les données ont été collectées pour la livraison d'un produit, elles ne doivent pas être utilisées pour un marketing non sollicité sans consentement.
Process de conformité :
Si l’équipe se rend compte que les données sont utilisées d'une manière incompatible avec les finalités initiales, une personne référente, comme le DPO doit en être informée pour corriger cet écart.
Droit des individus :
Les personnes dont les données ont été recueillies ont le droit d'être informées des finalités de la collecte et du traitement de leurs données. Il convient aussi de préparer vos équipes à répondre à toute demande d'exercice de droit.
Le principe de minimisation oblige à ne collecter que les données nécessaires, c’est-à-dire pertinentes, adéquates et limitées au regard de la finalité poursuivie.
Concrètement, ne récoltez pas des données qui ne sont pas nécessaires (exemple : ne pas demander l’adresse postale alors que le mail est suffisant) et réduisez le périmètre de l’information demandée (exemple : demander le domaine d’activité au lieu du métier).
La sensibilisation des collaborateurs au RGPD est une obligation légale. Cependant, n’hésitez pas à apporter de la créativité pour marquer l’esprit de vos équipes.
Formation en présentiel : elle est idéale pour informer sur les grands principes du RGPD. Elle peut être animée dans les locaux de votre entreprise par le DPO interne ou externe, les avocats de chez Bold, des spécialistes de la Privacy ou des consultants.
e-learning : la CNIL a publié divers MOOCs et fiches thématiques pour sensibiliser et former au RGPD. Ils sont généralement plus engageants que les formations classiques dans la mesure où ils incluent généralement des évaluations sous forme de quizz en fin d’apprentissage.
Atelier pratique : vous pouvez personnaliser l’atelier en fonction des différents services afin que chaque collaborateur maîtrise les bonnes pratiques adaptées à son service. L’animateur peut donner des exercices et des simulations permettant aux collaborateurs de mettre en pratique les théories RGPD. Cette forme de sensibilisation peut s’avérer très efficace.
Il est important de faire des piqûres de rappel de manière régulière puisque les réglementations internes et les besoins de votre entreprise peuvent évoluer.
Pour choisir des supports pertinents, il est recommandé de prendre en compte les spécificités de votre entreprise. Vous devez notamment :
Le véritable objectif est de choisir le bon format, de vulgariser des concepts parfois difficiles à comprendre, pour inculquer une culture RGPD à tous les niveaux de l’entreprise.
L’avocat RGPD est un acteur clé pour la mise en conformité de votre entreprise. Il agit non seulement en tant que conseiller juridique, mais aussi comme pédagogue au sein de votre équipe :
Téléchargez nos templates
Retrouvez tous les contrats et documents juridiques pour créer et développer votre entreprise en 2023.