Article mis à jour le 05/03/2015
1. Les nouvelles applications SIRH que les éditeurs (surtout américains) présentent à grands coups de campagnes marketing ont de quoi faire rêver et/ou frémir les responsables RH.
Piloter sur une tablette ou un smartphone la carrière et la performance des collaborateurs à partir d’indicateurs basés, au mieux sur les informations issues de processus RH de l’entreprise et, au pire, sur les traces de navigation sur le web (réseaux sociaux, jobboard, etc.), ne peut être considéré comme un acte anodin.
- Que diriez-vous à un éditeur du SaaS qui dispose des dossiers de millions de salariés, et qui vous propose un comparateur en temps réel de rémunération dépassant largement le périmètre de l’entreprise ? Finies les laborieuses et coûteuses données du marché collectées annuellement.
- Que diriez-vous, si l’éditeur vous proposait un indicateur de risque de démission qui étaye sa mesure en collectant les traces d’activité web du collaborateur (profil « recherche d’emploi : veille active ») ? Quel gain de temps et d’efficacité !
Et si votre collaborateur se décidait finalement à démissionner, que penseriez-vous d’un algorithme capable de détecter sur le web les profils les plus pertinents pour tenir le poste et présentant un « profil web » de chercheur d’emploi ? Encore beaucoup de temps et d’efforts économisés pour réaliser de véritables tâches à valeur ajoutée !
2. En France, nous sommes encore réticents à ces approches. Mais pour combien de temps ?
L’exploitation des données personnelles est une gigantesque opportunité pour l’entreprise. C’est une évidence pour les GAFA (Google, Apple, Facebook, Amazon) qui caracolent en tête des plus fortes progressions et des plus grosses capitalisations boursières.
- La numérisation des données est nécessaire pour dématérialiser les processus.
- La dématérialisation des processus est un vecteur d’efficacité et de réduction des coûts.
- De plus, certaines entreprises témoignent que dans un contexte où il devient de plus en plus difficile d’attirer et de fidéliser les meilleurs éléments, la technologie peut devenir un vecteur d’attractivité.
3. Mais comme toujours, les opportunités que l’on saisit viennent avec leur lot de menaces
Et ces menaces vont peser à la fois sur le salarié et sur l’entreprise : que ce soit dans des intérêts commerciaux (enrichir une base de données), dans des intérêts moins avouables (usurpation d’identité, escroqueries), ou encore pour répondre à des intérêts nationaux ou supra nationaux, les données personnelles sont de plus en plus convoitées.
- Quel atout pour un cabinet de chasse de disposer des informations contenues dans le SIRH de l’entreprise concurrente de son client !
- Quelle aubaine pour un escroc qui cherche à extorquer la comptabilité et qui a besoin d’enquêter sur l’organisation et les personnes de l’entreprise pour « réaliser son coup ».
Ce ne sont que deux exemples, mais la réalité est inexorable :
plus il y a aura de données sensibles dans des SIRH dont les données seront mutualisées et distribuées, plus le risque qu’elles soient volées et exploitées à l’encontre des intérêts des employés et/ou de l’entreprise, sera fort.
4. Les instances européennes ont bien compris la menace
Depuis 2012, les instances européennes envisagent un règlement pour mettre l’entreprise face à sa responsabilité de « protecteur » des données des personnes, détenues dans ses systèmes.
Il était temps, la dernière directive européenne remonte à 1995 !
Or, depuis, les enjeux se sont démultipliées et les réglementations en vigueur se sont révélées incapables d’enrayer les dérives.
Il aura fallu les révélations d’Edward Snowden pour qu’une prise de conscience citoyenne pousse les institutions à refondre en profondeur la réglementation sur la protection des données personnelles.
Sujet éminemment complexe car, en plus de s’appliquer à un contexte technologique diffus, supranational et en mutation perpétuelle, les institutions européennes doivent cibler deux objectifs difficiles à concilier.
- Protéger les droits fondamentaux des citoyens, sans pour autant priver les entreprises européennes d’une manne économique considérable et que le reste du monde exploite quasiment sans contraintes.
C’est en renforçant les principes existants, en les assortissant de sanctions plus lourdes, mais aussi en homogénéisant les règles régissant les flux de données entre les pays, que le prochain règlement envisage de pousser les entreprises à assumer leur responsabilité vis-à-vis des données personnelles qu’elles collectent.
Les directions des risques anticipent l’apparition d’un nouveau risque réglementaire, les obligeant à cartographier plus précisément les flux de données personnelles dans l’entreprise.
5. N’oublions pas les données des salariés !
Les données personnelles des clients, déjà très contrôlées, seront bien sûr à nouveau sous les projecteurs. Mais, il ne faudra pas oublier les données des salariés. Le SIRH est le système le plus riche en données personnelles de l’entreprise et il ne cessera de s’enrichir et de se complexifier. D’autant plus qu’il est porté par la généralisation du mode SaaS qui ouvre la porte à de nouvelles zones de risque.
Il suffit pour s’en convaincre de suivre l’actualité : en novembre dernier, USPS, la poste américaine, annonçait avoir été victime d’une cyber attaque qui a pu entraîner le vol des données personnelles de ses 500 000 salariés.
6. Comment s’y prendre ?
Avec la très probable adoption de ce nouveau règlement courant 2015, l’entreprise doit maintenant trouver son point d’équilibre entre les opportunités que l’usage des données personnelles amène et les contraintes et les menaces que cela implique.
Pour cela, il est utile de suivre les recommandations des experts. Le CIGREF et la CNIL préconisent, par exemple, de mettre en place dans l’entreprise des processus de gouvernance qui permettront de mieux connaitre les données personnelles afin d’en établir les risques associés qu’il faudra ensuite évaluer.
C’est par la classification et la cartographie des données sensibles et des risques afférents que l’entreprise pourra maîtriser et protéger les données personnelles et convaincre la CNIL qu’elle a intégré de façon proactive dans ses processus internes son devoir de protection des données personnelles.
7. Une nouvelle contrainte à prendre en compte dès la conception des solutions RH
Il est opportun désormais d’intégrer cette approche dans les projets qui touchent le SIRH. En démontrant que les systèmes RH ont été conçus en prenant en compte le « Privacy by Design », il sera plus facile d’être crédible lors d’un contrôle de la CNIL.
En effet, la nouvelle réglementation ne devrait plus imposer la remise d’une déclaration CNIL lors de la création d’un nouveau traitement de données personnelles.
En revanche, la CNIL se réservera le droit de contrôler que la gouvernance nécessaire à la protection des données est bien en place dans l’entreprise, et que les processus prennent en compte la protection des données personnelles, dès la conception d’un nouveau traitement.
En conclusion, les sanctions que prévoit le règlement en cours de finalisation par les institutions européennes représentent une « menace » significative pour les entreprises. Pour s’en protéger, elles doivent se montrer proactives et responsables vis à vis de leur devoir de protection des données personnelles. Pour la plupart d’entre elles, c’est un véritable effort qui reste à réaliser. Pour celles qui ont réalisé cet effort, c’est l’opportunité de valoriser leur volonté éthique. A chacune de trouver son point d’équilibre dans la prise en compte de ce nouveau risque.
Et à nous, Citoyens, de continuer à peser pour défendre notre droit fondamental à la vie privée…
——————————
Auteur de ce billet
Olivier MAUPU – Conseil SIRH
Profil Linkedin.
