Article mis à jour le 28/11/2014
La réglementation européenne sur la protection des données personnelles est une opportunité pour mieux gérer un SIRH complexe.
La réglementation européenne sur la protection des données personnelles est une opportunité pour Les travaux en cours dans les institutions européennes pour renforcer la protection des données personnelles, tout en ne pénalisant pas l’économie numérique qui y est associée, s’annoncent particulièrement contraignants pour l’entreprise. En effet, la réglementation qui entrera en vigueur courant 2015 obligera l’entreprise à assurer pleinement la protection des données personnelles qu’elle exploite. Les principes actuels seront renforcés et les sanctions seront sans aucune mesure avec celles en vigueur aujourd’hui.
Actuellement, les entreprises ont bien compris l’importance de protéger les données de leurs clients, elles ont moins bien intégré le fait que les données de leurs salariés sont au moins aussi riches et sensibles et qu’elles nécessitent également un effort de protection.
Les Directions des Ressources Humaines ont souvent délégué leur devoir de protection des données à leur DSI sans réaliser qu’elles avaient elles-mêmes contractualisé des services applicatifs (paie, recrutement…) situées en dehors du périmètre de contrôle de la DSI.
Et conséquence, à l’heure où les données des salariés sont de plus en plus dématérialisées, où le SIRH est composé de multiples briques applicatives qui sont de plus en plus souvent hébergées dans le cloud, où les utilisateurs accèdent de plus en plus souvent au SIRH depuis un terminal mobile en dehors du réseau de l’entreprise, il est temps de revoir en profondeur le fonctionnement du SIRH de l’entreprise.
Il ne suffit pas de considérer que la sécurité d’une donnée est assurée lorsque celle-ci est mise en œuvre unitairement au sein de chaque application informatique. En effet, plus le SIRH se complexifie, plus la donnée personnelle navigue entre des applicatifs de natures diverses, opérés et utilisés dans des contextes variés (hébergeur, maintenance, utilisateurs, terminaux mobiles…). Chaque situation requiert des moyens de sécurisation spécifique. La navigation entre deux applicatifs requiert elle-même des moyens de sécurisation particuliers.
Comment, dans ces conditions, protéger la donnée personnelle tout au long de son périple et dans cette chaîne de traitement ? Quels sont les maillons faibles ?
En contraignant l’entreprise à faire face à sa responsabilité de protéger les données personnelles en mettant en place des processus de gestion des risques (Privacy Impact Assessment), la prochaine réglementation européenne pour la protection des données personnelles (Data Protection Act) nous montre la voie à suivre.
En effet, comment mettre en place un processus de gestion des risques sur les données personnelles si un travail préliminaire de classification et de cartographie des données sensibles n’a pas été réalisé ?
Comment identifier et évaluer les risques qui pèsent sur une donnée, si l’on ne connait pas précisément le chemin qu’elle va emprunter ?
Chaque étape et chaque transition du voyage est susceptible de révéler des risques particuliers. Changement de technologie, de pays, d’usage.
Pour répondre à ces questions, il va s’agir de troquer la loupe que l’on utilise pour scruter les applicatifs indépendamment les uns des autres et, regarder le SIRH dans un autre axe : celui du chemin de la donnée. C’est dans la donnée que se trouve la valeur du SIRH. C’est la donnée qui permet de produire l’information qui sera utilisée en gestion. Et, cette information produite doit être cohérente avec l’information collectée. Alors, plutôt que de se focaliser sur chacun des traitements qui transforme ou transporte cette donnée, il est temps de considérer en priorité, et dans son ensemble, cette information depuis sa création jusqu’à sa destruction.
Sans connaissance du cycle de vie de la donnée, il n’existe aucun moyen d’identifier de façon fiable et systématique les menaces qui pèsent sur sa protection. Il n’existe pas non plus de moyen d’identifier de façon fiable et systématique les menaces qui pèsent sur sa qualité. Or, la qualité des données dans un SIRH complexe est bien souvent un véritable challenge qui requiert des efforts significatifs et récurrents de la part de l’équipe qui le maintient.
Alors pourquoi ne pas s’inspirer des futures évolutions réglementaires en terme de protection des données personnelles ?
Comme le Privacy by Design pousse les entreprises à prendre en compte la protection des données personnelles dès la conception des traitements et programmes qui vont les exploiter, pourquoi ne pas mettre en œuvre le « Quality by Design » qui prend en compte la qualité et la cohérence des données RH, dès la conception du SIRH.
Une fois de plus, c’est le cycle de vie de la donnée qui est étudié et conçu pour maîtriser la qualité de la donnée depuis sa création jusqu’à sa suppression.
Ainsi, l’urbanisation et la gouvernance des données iraient de pair pour assurer la maîtrise des données de gestion des salariés et ce, pendant tout le cycle de vie de celles-ci et dans toutes les bases dans lesquelles elles transitent.
Du reste, plus le SIRH est composé d’applicatifs différents, plus cette approche sera pertinente !
—————————-
Auteur de ce billet
Olivier MAUPU – Conseil aux responsables SIRH
Profil Linkedin.
