A moins de 100 jours de l’entrée en application du Règlement Général relatif à la Protection des Données à caractère personnel (RGPD), les entreprises se posent de nombreuses questions sur les changements de paradigmes apportés par ce texte. Parmi ceux-ci, au-delà de l’information, le besoin en formation est croissant. Et pour cause, entre les lignes du RGPD apparaît une obligation de formation.
La notion de « responsabilisation » du responsable de traitement est capitale. Le responsable de traitement, celui qui décide des finalités et des moyens du traitement doit désormais démontrer sa conformité. Et c’est cette démonstration qui pose souvent problème.
Bien qu’il soit facile de mettre en place une documentation riche et de prôner une sécurisation des systèmes informatiques dans une entreprise, il est beaucoup plus difficile d’être en mesure de démontrer que les forces vives, l’Humain au cœur de l’entreprise, soient conformes.
L’article 24 du RGPD prévoit que « le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. »
Ces mesures techniques et organisationnelles sont clairement visées par le texte et recoupent plusieurs objectifs, la sécurisation des données, la mise en place d’un registre des traitements, la notification des violations de données… Le RGPD donne au travers de ses obligations de nombreux outils pour une mise en conformité des traitements.
Ici à priori, aucune obligation si ce n’est celle de mettre en œuvre (parfois de créer pour certains) ces mesures.
Mais comment les mettre en place dans les structures sans que les personnes qui réalisent ces traitements au quotidien ne sachent en quoi consiste un traitement de données à caractère personnelles ? Le RGPD propose en son article 37 la mise en place d’un Délégué à la Protection des Données à caractère personnel (Data Protection Officer dans la langue de Shakespeare). Et c’est ici qu’apparait l’obligation de formation de façon explicite, à l’article 39, Missions du DPD :
« Les missions du délégué à la protection des données sont au moins les suivantes :
[..] b) contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant; ».
Certes, le DPD n’est pas obligatoire pour l’ensemble des organismes responsables de traitement, même si il est vivement conseillé, il n’empêche que pour ces organismes, cette mission de sensibilisation et de formation est clairement indiquée par le texte.
A plus forte raison, les entreprises n’ayant pas désigné de DPD se retrouveront également concernés par cette obligation de formation et de sensibilisation de leurs salariés. En effet la loi reste la même pour tous, en présence de DPD ou non, les forces managériales doivent être conscients de la problématique que représente la protection des données au sein de leurs structures.
Le dirigeant d’entreprise, responsable de traitement doit, en l’absence de DPD, suppléer à cette mission visée par l’article 39-1 b du RGPD et assurer sensibilisation et formation de ses salariés.
La démonstration de la conformité exigée par l’article 24 passe donc par la formation des forces managériales et opérationnelles qui traitent des données à caractère personnel.
Cette obligation de formation doit être respectée sous le couvert d’une synergie interne pour être efficace.
Le Responsable Informatique ne réalise nécessairement pas les mêmes traitements que le responsable qualité, ou le responsable des ressources humaines, pourtant tous sont concernés par la protection des données à caractère personnel de leurs clients ou des salariés de l’entreprise. Bien évidemment, le dirigeant, encourant des sanctions pénales, doit à plus forte raison être impliqué dans cette phase de sensibilisation et de déploiement de la culture protection des données de l’entreprise.
L’obligation de formation est l’affaire de tous dans l’entreprise, et à plus forte raison des dirigeants et des forces managériales.
Afin d’atteindre vos objectifs de conformité RGPD, une seule solution, aller vous former, de préférence auprès d’organismes certifiants qui pourront attester de la bonne conduite et du contenu de votre formation.
Alexandrine PANTZ
Rappel: La CNIL n’a pas encore délivré ses critères pour délivrer des certificats de formations. Les organismes certifiants présentés dans cet article sont énoncés comme tels car référencés par d’autres organismes (ex: DATADOCK).