Cybersécurité et RGDP

Cybersécurité et RGDP

La seconde thématique abordée lors de cette journée du 8 mars 2018 était la cyber sécurité et le RGDP. Pour traiter ces sujets, plusieurs intervenants étaient présents :

  • Carole Blanco, Spotkink
  • Didier Rouxel, DRH.I.S. Human Information & Services
  • José Rodriguez, Cornerstone
  • Vincent Lebutenel Boost.rs
  • Junior Joanis, Moodwalk

 

Vous avez surement dû recevoir un nombre important de mail sur vos données personnelles dernièrement ? C’est normal, il s’agit de l’application du  RGPD ou règlement général sur la protection des données, entrée en vigueur le 25 mai 2018. Au cœur des préoccupations des entreprises, ce règlement vise à davantage protéger les données des utilisateurs ou du moins améliorer l’information sur les données détenues par les entreprises. D’où ces nombreux mails nous informant que les politiques de détention des données changent.

 

Nous avons organisé l’atelier sous forme de questions ouvertes, auxquelles nos invités ainsi que le public étaient amenés à traiter. Retour sur ce moment de partage !

 

Quelles sont aujourd’hui vos enjeux liés à la cyber sécurité et au RGPD?

 

Vincent : Les deux notions sont liées, par exemple la carte grise nous permet d’identifier à qui appartient le véhicule (RGPD) et de protéger le conducteur (cyber sécurité).

 

Junior : C’est un sujet très important chez Moodwalk. Le premier enjeu est la confiance des utilisateurs, car les données doivent rester privées. Le RGPD permet de rassurer les utilisateurs, les tenir au courant de l’utilisation de leurs données.

 

Quel est votre avis sur cette nouvelle réglementation?

 

Junior : La cyber sécurité n’est pas quelque chose qui se voit de prime abord. Nous nous préparons en implémentant plusieurs registres, au travers de documents permettant aux utilisateurs de tout savoir sur l’utilisation de leurs données.

 

Vincent : Nous nous sommes orientés vers un cabinet d’avocats spécialisés pour répondre aux critères du RGPD. Les 4 grands préceptes sont :

  • L’employé est au centre du projet
  • L’employé maîtrise son consentement lorsqu’il partage ses données avec son employeur
  • L’utilisateur a la portabilité de ses données (en changeant d’entreprise)
  • Il a le droit à l’oubli

 

Quels sont les impacts?

 

Vincent : Positif, en tant que start-up, il permet de partir d’une « page blanche » et d’augmenter la notion de confiance.

 

Junior : Cela apporte plus d’utilisateurs car ils ont plus confiance, et cela permet de responsabiliser l’entreprise. En contrepartie, nous devons accorder plus de temps à ces sujets et moins sur la fonctionnalité.

 

Le droit à l’oubli n’est-il pas un leurre aujourd’hui ?

 

Vincent : c’est l’employé qui maîtrise son profil et il peut effacer son profil, le modifier etc. toutes les données seront perdues. Le droit à l’oubli prendra du temps.

 

Junior : Pour notre cas, l’application a été créée en privé (pas comme sur Facebook, twitter etc.) donc à ce niveau nous avons moins de contrôle. Ce n’est donc pas un leurre, mais nous essayons de faire comprendre aux grands acteurs du numérique, que la gestion des données est importante et qu’il faut travailler dessus pour que le droit à l’oubli ne soit plus un leurre.

 

Comment transformer la RGPD en opportunités pour les RH ?

 

Junior : En apportant de la crédibilité, de la transparence et en rassurant les clients.

 

Quelles données appartiennent aux salariés ? À l’entreprise ? Où situez-vous la limite ?

 

Junior : Les données appartiennent à la start-up et aux employés.

 

Vincent : Les données appartiennent aux salariés, ce sont eux qui les partagent.

 

Didier : La loi marque un point sur le caractère stratégique  et l’obligation dans les RH de choisir une position, une stratégie.

 

José Rodriguez : Le mouvement s’accélère avec la création d’outils innovants, mais ce n’est pas nouveau. La question est comment on va s’approprier les outils et comment les utiliser ? Il y a forcément des outils dans chaque département RH. Maintenant il devrait y avoir un responsable RH big data.

 

Carole: C’est un gros enjeu pour les professionnels RH notamment sur la façon d’informer les salariés. C’est un changement de paradigmes, demain on va devoir montrer notre conformité au règlement.

 

Didier : C’est un grand mouvement puisque l’UE a mis le curseur vers la protection des personnes et des données. Les RH ont toujours 3 postures :

  • Acteur de la transformation en utilisant tous les leviers pour prendre le lead dans cette bascule ;
  • Fonction support, car toutes ces contraintes s’imposent à nous (décidées par l’Europe). Beaucoup d’améliorations technologiques et d’outils sont effectivement présents mais il faut travailler en équipe sous le lead des RH (Juristes, DSI, fournisseurs, RH) ;
  • Délégation de la responsabilité (auprès de la DSI, des fournisseurs).

 

 

Comment accompagne-t-on le management ? Comment est-ce que l’on forme les salariés ?

 

Carole : Informer et sensibiliser les salariés sur leurs droits. On ne fonctionnera plus comme avant, il va falloir faire du tri pour supprimer des informations qu’on n’a plus le droit de conserver.

 

Didier : En entreprise, on ne part pas de rien, les fournisseurs de solutions apportent de bonnes réponses mais il faut s’y pencher sérieusement.

 

La block Chain permet de certifier, valider etc. peut-elle être un outil efficace ?

 

Didier : Attention à l’effet de mode. Ce n’est pas vraiment un processus de certification pour le moment. La data est un gros travail, et le RGPD est un avantage car cela peut mettre la pression sur la DG. Le travail de fond prioritaire des RH est sur la data.

 

Vincent : Les RH doivent se poser les bonnes questions

 

José : La CNIL demande de dresser les listes des systèmes informatiques, de garder les données vraiment utiles. Selon le degré de maturité des entreprises, le RGPD va obliger les entreprises à adopter de bonnes pratiques. C’est plus difficile pour les grands groupes qui ont eu des fusions/acquisitions. Les différents buts du RGPD est de consolider tout ça.

 

Quelle est l’obsolescence de la donnée en elle-même ? Est-ce qu’il existe des cartographies ?

 

Carole: Tous les processus RH sont concernés par le RGPD, il faut réfléchir aux durées de conservation, mettre en place des automatismes de suppression…

 

Est-ce que le traitement des données ne doit pas être pris au niveau le plus haut de l’entreprise ?

 

Didier : Un sujet RH est la sensibilisation à la sécurité pour tous. Le besoin de donner de la valeur aux données, c’est le phénomène pervers de le RGPD. Le plus simple est de verrouiller, donc l’entreprise ne pourra pas utiliser tous les moyens des datas. Il faut conserver les bonnes choses.

 

José : La sécurité est une obligation du RGPD. La sécurité est technique et personnelle. La moitié

des attaques, ce sont des personnes qui ont le droit d’y accéder.

 

Posted on: 8 juin 2018, by : M2 GRH Multinationales