Direction des ressources humaines, direction marketing, DSI, RSSI… On oublie trop souvent le rôle clé que ces différentes business units et entités métier jouent dans l’application des règles liées au RGPD.
Le DPO n’est pas le seul à s’occuper des données personnelles et à contribuer à leur protection. De nombreux autres acteurs jouent un rôle clé au sein de l’entreprise, au premier rang desquels se trouve la DRH.
L’essor des nouvelles technologies a multiplié les canaux de recrutement (réseaux sociaux, publicité personnalisée, moteurs de recherche spécialisés, etc.) et les outils de communication utilisés (visioconférence, agents conversationnels ou chatbots, applications mobiles, etc.).
Il a également entraîné la constitution de bases de données d’un volume important permettant l’utilisation de l’intelligence artificielle ou encore le recours à des outils pour évaluer le « savoir être » et prendre en compte les « soft skills » des candidats. Les recruteurs doivent donc porter une attention particulière à l’ensemble de ces aspects.
« Au niveau de la DRH, la question qui se pose est celle des données personnelles collectées sur les candidats dans le cadre d’un recrutement, et celle des candidats non retenus ou qui n’ont pas voulu rejoindre l’entreprise, mais dont les profils restent stockés dans une CVthèque. Il faut aussi faire très attention à certaines données personnelles – comme l’adresse postale – qui, si elles font l’objet d’un traitement, peuvent être utilisées de façon discriminatoire », déclare Geoffroy Noirfontaine, Responsable qualité et environnement du groupe Infotel.
Pour accompagner les DRH, la CNIL a élaboré en janvier 2023 un guide afin d’accompagner les recruteurs à se mettre en conformité avec le règlement général sur la protection des données (RGPD). Ce guide se compose de deux parties :
- Un rappel des fondamentaux en matière de réglementation sur la protection des données personnelles dans le domaine du recrutement (fiches n° 1 à 10) ;
- Des questions-réponses sur l’utilisation des nouvelles technologies par les recruteurs et à des questions spécifiques telles que celles relatives à la discrimination (fiche n° 11 à 19).
La CNIL n’oublie pas non plus les candidats eux-mêmes en proposant une fiche pratique qui leur est dédiée : « Candidats à un processus de recrutement : adoptez les 4 bons réflexes pour protéger vos informations personnelles ».
« Une fois que la problématique des données personnelles des candidats est correctement traitée, celle des salariés en découle naturellement, c’est une suite logique », note Geoffroy Noirfontaine.
Marketing : développer le chiffre d’affaires, mais pas à n’importe quel prix
Autre département directement concerné par l’application du RGPD : le pôle marketing. « Faire progresser le chiffre d’affaires fait partie intégrante de l’objet social de la plupart des entreprises, et le département marketing se retrouve très souvent en première ligne. Il lui faut cependant recueillir le consentement des personnes qu’il démarche et faire en sorte que l’intérêt légitime de ses actions soit réel, que ce soit en BtoC comme en BtoB », analyse Geoffroy Noirfontaine.
Les départements marketing doivent ainsi ne pas utiliser, pour leurs campagnes de prospection, de données personnelles librement accessibles sur internet sans avoir réalisé un certain nombre de vérifications préalables. De même, selon le mode de prospection utilisé (email, téléphone, SMS…), il est nécessaire de s’assurer que les personnes sollicitées ont donné leur accord pour recevoir les messages (opt-in) ou ne pas avoir exprimé leur refus (opt-out).
Dans tous les cas, les personnes démarchées doivent pouvoir refuser de recevoir d’autres sollicitations à venir. Elles doivent par exemple disposer d’un lien de désabonnement dans les emails envoyés ou de la possibilité de mettre fin à une compagne de SMS (envoi du mot « STOP » à un numéro court).
Enfin, les départements marketing sont dans l’obligation de veiller à ne pas conserver les données des clients au-delà des durées autorisées. Les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant la relation commerciale, puis pour une durée de trois ans à compter de la fin de cette relation (par exemple, à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services ou du dernier contact émanant du client). À ce propos, la CNIL a publié un Référentiel relatif aux traitements de données personnelles mis en œuvre aux fins de gestion des activités commerciales.
DSI et RSSI : deux rôles complémentaires
Après la DRH et le département marketing, la DSI joue également un rôle stratégique dans l’application du RGPD, principalement sur le volet « sécurité » du système d’information. Une des premières missions de la DSI est de mettre en œuvre les mesures appropriées permettant d’assureur la confidentialité, l’intégrité et la disponibilité des données manipulées par l’entreprise.
La DSI se doit également de déterminer si les mesures qu’elle a mises en œuvre sont proportionnées aux risques sur les droits et libertés. Une autre de ses missions est en effet de protéger les personnes des atteintes liées à leurs données.
Le RSSI (Responsable de la Sécurité des Systèmes d’Information) joue quant à lui un rôle complémentaire à celui du DSI. « Ce sont deux pouvoirs séparés dans l’entreprise. Le RSSI a pour objectif de définir la politique de sécurité du SI et de veiller à son application. Il ne devrait jamais dépendre du DSI car, compte tenu de son rôle de contrôle, il serait alors juge et partie », note Geoffroy Noirfontaine.
Selon une fiche pratique éditée par le Clusif, le RSSI et le DPO doivent contribuer de manière complémentaire à la définition des méthodes d’identification et d’évaluation des risques en élaborant un référentiel commun. Ils doivent également collaborer étroitement pour mettre en place des plans d’actions liés à la maîtrise de risques.
« Dans le cadre de leurs missions, les RSSI et DPO sont amenés à travailler de façon transverse au sein de leur organisation. Leurs sollicitations peuvent être mal perçues par les collaborateurs et chronophages pour l’organisme si elles ne sont pas mutualisées entre ces deux acteurs : il leur faut partager l’information et mettre en place des processus communs », peut-on dans la fiche pratique du Clusif.
Comme nous pouvons le constater, le DPO est accompagné et aidé au quotidien par de nombreuses directions qui, à leur échelle, contribuent à l’application des règles édictées par le RGPD. Seul face à tout le reste de l’entreprise, le DPO ne peut rien entreprendre de pérenne. Il a besoin du soutien et de la collaboration des différents départements de son organisation pour réussir sa mission.
Et si une solution logicielle pouvait aider le DPO ?
Découvrez Deepeo et les principes de notre offre
Aucune intervention manuelle n’est requise : Il suffit de définir vos règles de gestion et de laisser Deepeo gérer votre conformité. Deepeo est compatible avec la plupart des technologies de base de données du marché, il n’est pas nécessaire d’utiliser un logiciel sur mesure, ni de faire du développement spécifique long et coûteux.
Avec l’anonymisation des données, Deepeo fait franchir une étape supplémentaire à votre S.I. C’est le seul système sur le marché qui peut nettoyer et anonymiser les données des clients. Vous pourrez par exemple exporter vos données de production vers un environnement de test et utiliser Deepeo pour anonymiser les données personnelles de vos clients tout en conservant le lien logique entre les données.
Ainsi vous pouvez facilement constituer des jeux de tests anonymisés, basés sur des données réelles. L’assistance à l’intégration garantit que Deepeo est entièrement configuré selon les besoins.