Plus je réfléchi à cette question et plus je me demande si finalement la mise en conformité RGPD ne devrait pas être pilotée par le service RH.
Il faut être clair, tant que les entreprises auront des salariés, les données RH seront les premières à entrer dans le champ d'application de la réglementation.
Certes, il y a des mesures techniques à prendre (sur la sécurité et la confidentialité des données) mais le "gros" du travail est juridique et organisationnel.
Les RH n'ont ils pas avec cette RGPD une carte supplémentaire à jouer pour leur propre transformation numérique?
Qu'en pensez vous?
numerique ressources humaines rgpd #transformation numérique
On en revient toujours aux raccourcis courant dans nos entreprises : puisque c'est dans l'univers numérique DONC il s'agit d'une solution technique et/ou technologique.
Et je te rejoins complètement dans ton idée : c'est avant tout une culture de gestion des (res)sources humaines renouvelée ET basée sur des outils numérique pour faciliter les réalisations de cette culture.
Cette nouvelle réglementation est avant tout un défi pour se mettre en conformité. Et avant de penser outils (donc techno) il faut penser aux hommes et aux process... Il faut que ce projet soit surtout sponsorisé par le manager de l'entreprise, car sans lui, rien ne se fera. Sans appui de la direction, le pilote, quelqu'il soit, va avoir du mal à accompagner le changement, comme dans tout projet transverse.
Il y a également une obligation de formation des salariés dans le GDPR, qu'il faut également documenter (apporter la preuve de la formation, par une feuille de présence par exemple). Notamment des salariés qui manipulent de la donnée personnelle.
Je suis d'accord pour un sponsor au plus haut niveau. D'autant que cette notion d'accountability (je ne sais pas pourquoi on a gardé le mot anglais) est très centrale. Un chef d'entreprise ne pourra plus se cacher derrière une délégation, c'est désormais son rôle de s'assurer de la conformité de ce qui se passe dans son entreprise même si ce n'est pas lui qui réalise ou contribue à la mise en conformité. Il ne peut plus se positionner comme simplement "Informé".
Je ne sais pas trop comment les chefs d'entreprise vont aborder la chose... Pour l'instant, ceux que j'ai rencontré font soit l'autruche (le risque de sanction leur est faible par rapport aux coûts), soit me disent n'avoir jamais entendu parler de la RGPD...
Quoiqu'il en soit, comme je ne me vois pas intervenir sur des questions autres que d'outillages, je reste sur mon idée que je ne pourrais pas vivre que de ça.
La question de la sanction n'est pas suffisante. Bien souvent les contrôles de la CNIL se font sur signalement... et bien souvent aboutissent à des réprimandes. Si le chef d'entreprise met de la mauvaise foi, là la CNIL fait preuve de sévérité. L'exemple récent d'un petit cabinet médical illustre ces propos: peu importe la taille de l'entreprise, tout le monde est exposé aux sanctions si la non conformité est avérée. De plus, avec le GDPR, la charge de la preuve est inversée; c'est à l'entreprise de montrer ses preuves de conformités sur demande de la CNIL, et non plus la CNIL qui instruira une recherche de non conformité.
Il reste aussi les moyens qui seront alloués à la CNIL, il faudra qu'ils évoluent. Le loi Informatiques et Libertés doit prochainement être modifiée pour être au niveau du GDPR, normalement d'ici peu de temps.
Et pour vous, il faut peut être vous rapprocher de cabinets juridiques, qui eux ne parlent pas d'outillages, mais bien de mise en conformité, pour peut être établir une offre commune?
C'est clairement un sujet de stratégie d'entreprise au plus haut niveau, sans aucun doute. Si le sujet n'est pas pris par le top management, puisqu'il concerne quasiment tous les départements, comment une entreprise peut-elle prétendre avoir une vraie politique de gestion des données?
Bonjour,
Effectivement, il faut avoir une vraie gestion de ses données. Les sociétés qui ont la maturité suffisante disposent déjà d'une PCD (Politique de Conservation des Données), le plus souvent associé à une politique de sécurité des données. Leur mise en conformité vers le RGPD ne m'inquiète pas: ce sera le plus souvent une évolution de ce qui existe déjà. Leurs personnels sont déjà largement coutumiers et sensibilisés à la chose.
Mon seul regret est que ces entreprises sont également celles qui ont le plus de moyens.
Bonsoir @PascalW,
Le RGPD est un réglementation donc une loi, elle à une incidence transverse donc l'aspect RH est concerné en effet.
Cela à plus d'un titre, car les données RH de l'entreprise sont touchées, mais il va falloir également former les collaborateurs.
Bonjour @FredericLibaud ,
Effectivement et la formation est une sujet RH
J'ai estimé pour ma part à 30 ou 40 % la part de l'IT si l'entreprise a déjà une certaine gouvernance de ces données.
Mais je reconnais que cette part peut exploser en particulier, lors de l'audit et de la réalisation de la cartographie des données personnelles et de leurs traitements. il ne sera pas toujours possible (ni raisonnable) de s'appuyer sur un audit purement "déclaratif".