Gif-Detox digitale

Données personnelles du #SIRH: un nouveau risque pour l‘entreprise ?

Image 1

1. Les nouvelles applications SIRH que les éditeurs (surtout américains) présentent à grands coups de campagnes marketing ont de quoi faire rêver et/ou frémir les responsables RH.

Piloter sur une tablette ou un smartphone la carrière et la performance des collaborateurs à partir d’indicateurs basés, au mieux sur les informations issues de processus RH de l’entreprise et, au pire, sur les traces de navigation sur le web (réseaux sociaux, jobboard, etc.), ne peut être considéré comme un acte anodin.

  • Que diriez-vous à un éditeur du SaaS qui dispose des dossiers de millions de salariés, et qui vous propose un comparateur en temps réel de rémunération dépassant largement le périmètre de l’entreprise ? Finies les laborieuses et coûteuses données du marché collectées annuellement.
  • Que diriez-vous, si l’éditeur vous proposait un indicateur de risque de démission qui étaye sa mesure en collectant les traces d’activité web du collaborateur (profil « recherche d’emploi : veille active ») ? Quel gain de temps et d’efficacité !

Et si votre collaborateur se décidait finalement à démissionner, que penseriez-vous d’un algorithme capable de détecter sur le web les profils les plus pertinents pour tenir le poste et présentant un « profil web » de chercheur d’emploi ? Encore beaucoup de temps et d’efforts économisés pour réaliser de véritables tâches à valeur ajoutée !

2. En France, nous sommes encore réticents à ces approches. Mais pour combien de temps ?

L’exploitation des données personnelles est une gigantesque opportunité pour l’entreprise. C’est une évidence pour les GAFA (Google, Apple, Facebook, Amazon) qui caracolent en tête des plus fortes progressions et des plus grosses capitalisations boursières.

  • La numérisation des données est nécessaire pour dématérialiser les processus.
  • La dématérialisation des processus est un vecteur d’efficacité et de réduction des coûts.
  • De plus, certaines entreprises témoignent que dans un contexte où il devient de plus en plus difficile d’attirer et de fidéliser les meilleurs éléments, la technologie peut devenir un vecteur d’attractivité.

3. Mais comme toujours, les opportunités que l’on saisit viennent avec leur lot de menaces

Et ces menaces vont peser à la fois sur le salarié et sur l’entreprise : que ce soit dans des intérêts commerciaux (enrichir une base de données), dans des intérêts moins avouables (usurpation d’identité, escroqueries), ou encore pour répondre à des intérêts nationaux ou supra nationaux, les données personnelles sont de plus en plus convoitées.

  • Quel atout pour un cabinet de chasse de disposer des informations contenues dans le SIRH de l’entreprise concurrente de son client !
  • Quelle aubaine pour un escroc qui cherche à extorquer la comptabilité et qui a besoin d’enquêter sur l’organisation et les personnes de l’entreprise pour “réaliser son coup”.

Ce ne sont que deux exemples, mais la réalité est inexorable :

plus il y a aura de données sensibles dans des SIRH dont les données seront mutualisées et distribuées, plus le risque qu’elles soient volées et exploitées à l’encontre des intérêts des employés et/ou de l’entreprise, sera fort.

4. Les instances européennes ont bien compris la menace

Depuis 2012, les instances européennes envisagent un règlement pour mettre l’entreprise face à sa responsabilité de « protecteur » des données des personnes, détenues dans ses systèmes.

Il était temps, la dernière directive européenne remonte à 1995 !

Or, depuis, les enjeux se sont démultipliées et les réglementations en vigueur se sont révélées incapables d’enrayer les dérives.

Image 2Il aura fallu les révélations d’Edward Snowden pour qu’une prise de conscience citoyenne pousse les institutions à refondre en profondeur la réglementation sur la protection des données personnelles.

Sujet éminemment complexe car, en plus de s’appliquer à un contexte technologique diffus, supranational et en mutation perpétuelle, les institutions européennes doivent cibler deux objectifs difficiles à concilier.

  • Protéger les droits fondamentaux des citoyens, sans pour autant priver les entreprises européennes d’une manne économique considérable et que le reste du monde exploite quasiment sans contraintes.

C’est en renforçant les principes existants, en les assortissant de sanctions plus lourdes, mais aussi en homogénéisant les règles régissant les flux de données entre les pays, que le prochain règlement envisage de pousser les entreprises à assumer leur responsabilité vis-à-vis des données personnelles qu’elles collectent.

Les directions des risques anticipent l’apparition d’un nouveau risque réglementaire, les obligeant à cartographier plus précisément les flux de données personnelles dans l’entreprise.

5. N’oublions pas les données des salariés !

Les données personnelles des clients, déjà très contrôlées, seront bien sûr à nouveau sous les projecteurs. Mais, il ne faudra pas oublier les données des salariés. Le SIRH est le système le plus riche en données personnelles de l’entreprise et il ne cessera de s’enrichir et de se complexifier. D’autant plus qu’il est porté par la généralisation du mode SaaS qui ouvre la porte à de nouvelles zones de risque.

Il suffit pour s’en convaincre de suivre l’actualité : en novembre dernier, USPS, la poste américaine, annonçait avoir été victime d’une cyber attaque qui a pu entraîner le vol des données personnelles de ses 500 000 salariés.

6. Comment s’y prendre ?

Avec la très probable adoption de ce nouveau règlement courant 2015, l’entreprise doit maintenant trouver son point d’équilibre entre les opportunités que l’usage des données personnelles amène et les contraintes et les menaces que cela implique.

Pour cela, il est utile de suivre les recommandations des experts. Le CIGREF et la CNIL préconisent, par exemple, de mettre en place dans l’entreprise des processus de gouvernance qui permettront de mieux connaitre les données personnelles afin d’en établir les risques associés qu’il faudra ensuite évaluer.

C’est par la classification et la cartographie des données sensibles et des risques afférents que l’entreprise pourra maîtriser et protéger les données personnelles et convaincre la CNIL qu’elle a intégré de façon proactive dans ses processus internes son devoir de protection des données personnelles.

7. Une nouvelle contrainte à prendre en compte dès la conception des solutions RH

Il est opportun désormais d’intégrer cette approche dans les projets qui touchent le SIRH. En démontrant que les systèmes RH ont été conçus en prenant en compte le « Privacy by Design », il sera plus facile d’être crédible lors d’un contrôle de la CNIL.

En effet, la nouvelle réglementation ne devrait plus imposer la remise d’une déclaration CNIL lors de la création d’un nouveau traitement de données personnelles.

En revanche, la CNIL se réservera le droit de contrôler que la gouvernance nécessaire à la protection des données est bien en place dans l’entreprise, et que les processus prennent en compte la protection des données personnelles, dès la conception d’un nouveau traitement.

En conclusion, les sanctions que prévoit le règlement en cours de finalisation par les institutions européennes représentent une « menace » significative pour les entreprises. Pour s’en protéger, elles doivent se montrer proactives et responsables vis à vis de leur devoir de protection des données personnelles. Pour la plupart d’entre elles, c’est un véritable effort qui reste à réaliser. Pour celles qui ont réalisé cet effort, c’est l’opportunité de valoriser leur volonté éthique. A chacune de trouver son point d’équilibre dans la prise en compte de ce nouveau risque.
Et à nous, Citoyens, de continuer à peser pour défendre notre droit fondamental à la vie privée

——————————

Auteur de ce billet

Image 3Olivier MAUPU –  Conseil SIRH
Profil Linkedin.baw

www.b-a-w.com

À propos de Carole Blancot

Carole Blancot est Président de SpotPink, conférencière, formatrice, auteure de plusieurs ouvrages, psychosociologue clinicienne, psychothérapeute (Numéro ADELI : 78 93 1059 6) & bloggeuse sur les thématiques RH et SIRH.
Elle possède 19 années d’expérience professionnelle dans les domaines de la gestion des ressources humaines, du SIRH et de la communication (dont 10 passées sein de Bureaux d’études techniques, cabinets-conseils et prestataires de services). Elle a (co)réalisé en 2015 la première étude portant sur le phénomène du FoMO et sur le niveau de dépendance des Français vis-à-vis des médias sociaux (Cf. résultats de l'étude). Elle organise et anime plusieurs cures de détox. digitale chaque année, avec un accompagnement psychologique inclus.
Elle est co-auteur de quatre ouvrages spécialisés sur les médias sociaux et le Système d’Information en Ressources Humaines :
« Communication de crise à l’heure des médias sociaux », publié par Atramenta en 2012.
« Inondé sous les e-mails, résistez ! » publié aux Éditions Hachette en 2013.
« Le SIRH enjeux, bonnes pratiques et innovation », dont la 3ème édition est publiée en 2017 par Le Cercle SIRH aux Éditions Vuibert.
Ouvrage collectif à l’initiative de NGA Human Resources (2017) « 20 années de SIRH et de services RH », Atramenta.
Twitter : @CaroleBlancot

error: