Gif-Detox-digitale

Réglementation sur la protection des données personnelles & impact sur le #SIRH

1439270_40289892La réglementation européenne sur la protection des données personnelles est une opportunité pour mieux gérer un SIRH complexe

Les travaux en cours dans les institutions européennes pour renforcer la protection des données personnelles, tout en ne pénalisant pas l’économie numérique qui y est associée, s’annoncent particulièrement contraignants pour l’entreprise. En effet, la réglementation qui entrera en vigueur courant 2015 obligera l’entreprise à assurer pleinement la protection des données personnelles qu’elle exploite. Les principes actuels seront renforcés et les sanctions seront sans aucune mesure avec celles en vigueur aujourd’hui.

Actuellement, les entreprises ont bien compris l’importance de protéger les données de leurs clients, elles ont moins bien intégré le fait que les données de leurs salariés sont au moins aussi riches et sensibles et qu’elles nécessitent également un effort de protection.

Les Directions des Ressources Humaines ont souvent délégué leur devoir de protection des données à leur DSI sans réaliser qu’elles avaient elles-mêmes contractualisé des services applicatifs (paie, recrutement…) situées en dehors du périmètre de contrôle de la DSI.

Et conséquence, à l’heure où les données des salariés sont de plus en plus dématérialisées, où le SIRH est composé de multiples briques applicatives qui sont de plus en plus souvent hébergées dans le cloud, où les utilisateurs accèdent de plus en plus souvent au SIRH depuis un terminal mobile en dehors du réseau de l’entreprise, il est temps de revoir en profondeur le fonctionnement du SIRH de l’entreprise.

Il ne suffit pas de considérer que la sécurité d’une donnée est assurée lorsque celle-ci est mise en œuvre unitairement au sein de chaque application informatique. En effet, plus le SIRH se complexifie, plus la donnée personnelle navigue entre des applicatifs de natures diverses, opérés et utilisés dans des contextes variés (hébergeur, maintenance, utilisateurs, terminaux mobiles…). Chaque situation requiert des moyens de sécurisation spécifique. La navigation entre deux applicatifs requiert elle-même des moyens de sécurisation particuliers.

Comment, dans ces conditions, protéger la donnée personnelle tout au long de son périple et dans cette chaîne de traitement ? Quels sont les maillons faibles ?

En contraignant l’entreprise à faire face à sa responsabilité de protéger les données personnelles en mettant en place des processus de gestion des risques (Privacy Impact Assessment), la prochaine réglementation européenne pour la protection des données personnelles (Data Protection Act) nous montre la voie à suivre.

En effet, comment mettre en place un processus de gestion des risques sur les données personnelles si un travail préliminaire de classification et de cartographie des données sensibles n’a pas été réalisé ?

Comment identifier et évaluer les risques qui pèsent sur une donnée, si l’on ne connait pas précisément le chemin qu’elle va emprunter ?

Chaque étape et chaque transition du voyage est susceptible de révéler des risques particuliers. Changement de technologie, de pays, d’usage.

Pour répondre à ces questions, il va s’agir de troquer la loupe que l’on utilise pour scruter les applicatifs indépendamment les uns des autres et, regarder le SIRH dans un autre axe : celui du chemin de la donnée. C’est dans la donnée que se trouve la valeur du SIRH. C’est la donnée qui permet de produire l’information qui sera utilisée en gestion. Et, cette information produite doit être cohérente avec l’information collectée. Alors, plutôt que de se focaliser sur chacun des traitements qui transforme ou transporte cette donnée, il est temps de considérer en priorité, et dans son ensemble, cette information depuis sa création jusqu’à sa destruction.

Sans connaissance du cycle de vie de la donnée, il n’existe aucun moyen d’identifier de façon fiable et systématique les menaces qui pèsent sur sa protection. Il n’existe pas non plus de moyen d’identifier de façon fiable et systématique les menaces qui pèsent sur sa qualité. Or, la qualité des données dans un SIRH complexe est bien souvent un véritable challenge qui requiert des efforts significatifs et récurrents de la part de l’équipe qui le maintient.

Alors pourquoi ne pas s’inspirer des futures évolutions réglementaires en terme de protection des données personnelles ?

Comme le Privacy by Design pousse les entreprises à prendre en compte la protection des données personnelles dès la conception des traitements et programmes qui vont les exploiter, pourquoi ne pas mettre en œuvre le « Quality by Design » qui prend en compte la qualité et la cohérence des données RH, dès la conception du SIRH.

Une fois de plus, c’est le cycle de vie de la donnée qui est étudié et conçu pour maîtriser la qualité de la donnée depuis sa création jusqu’à sa suppression.

Ainsi, l’urbanisation et la gouvernance des données iraient de pair pour assurer la maîtrise des données de gestion des salariés et ce, pendant tout le cycle de vie de celles-ci et dans toutes les bases dans lesquelles elles transitent.

Du reste, plus le SIRH est composé d’applicatifs différents, plus cette approche sera pertinente !

—————————-
Auteur de ce billet

Olivier MAUPU –  Conseil aux responsables SIRH
Profil Linkedin.

Contacter la rédaction

SpotPink

Ce formulaire vous permet d'envoyer un mail au webmaster de ce blog.
* indique un champ requis

Types de fichiers autorisés: doc,pdf,txt,gif,jpg,jpeg,png.
Taille maximale des fichiers: 4mb.

Carole Blancot À propos de Carole Blancot

Carole Blancot est présidente de l’agence SpotPink qu’elle a créée en 2011. Elle est conférencière, formatrice, co-auteure de plusieurs ouvrages (sur des thématiques RH, SIRH et médias sociaux), psychosociologue clinicienne, psychothérapeute (Numéro ADELI : 78 93 1059 6), et tient plusieurs blogs traitant de sujets liés aux ressources humaines et aux technologies de la communication à l’heure de la transition numérique.
Elle intervient en entreprise pour la négociation ainsi que la mise en application du droit à la déconnexion. Elle anime des cures de détox. digitale avec un accompagnement psychologique inclus.
Elle est co-auteure de 6 ouvrages spécialisés sur les médias sociaux et le Système d’Information en Ressources Humaines :
- Guide du bon usage des outils numériques et de l'exercice de la déconnexion, Paris, Amazon, 2018, disponible aux formats Word (personnalisable), eBook Kindle et broché.
- Barféty, Jean-Marc, Berthelot, Vincent, Clémentine, Daniel, Geuze, François, Just, Bernard, Lebarbenchon, Anne, Scouarnec, Aline, de Vulliod, Claire-Marie, Blancot, Carole (dir.), Gaspardo, Patrick (dir.), 20 années de SIRH et de services RH, Tampere, Atramenta, 2017, 229 p., disponible aux formats PDF, EPUB et broché.
- Le cercle SIRH, Le SIRH Enjeux, bonnes pratiques et innovation, Paris, Edition Vuibert, 2017 [3e éd.], 448 p.
- Les ressources humaines numériques en 32 témoignages - RH, formation, marque employeur, mooc, Editions Kawa, 2015, 146 p. 
- La communication de crise à l'heure des médias sociaux, Editions Atramenta, 2012, 100 p., disponible aux formats PDF, EPUB et broché.
- Inondé sous les e-mails, résistez !, Edition Hachette Pratique, Février 2013, 224 p.
Elle a (co)réalisé en 2015 la première étude portant sur le phénomène du FoMO et sur le niveau de dépendance des Français vis-à-vis des médias sociaux.
Twitter : @CaroleBlancot

Rétroliens

  1. […] Réglementation sur la protection des données personnelles & impact sur le SIRH  […]

  2. […] La réglementation européenne sur la protection des données personnelles est une opportunité pour mieux gérer un SIRH complexe. Les travaux en cours dans les institutions européennes pour renforcer la protection des données personnelles, tout en ne…  […]

error: