La formation des collaborateurs n’est souvent pas, on le sait, une priorité des entreprises mais comment faire lorsqu’elle conditionne sa conformité à certaines règlementations ? Deviendrait-elle une priorité si non seulement elle permettait à l’entreprise de respecter ses obligations légales, mais aussi si de se protéger des attaques extérieures tout en disposant d’un avantage concurrentiel ?
Former ses collaborateurs à la protection des données personnelles répond ainsi à ce triple avantage et devrait par conséquent devenir une priorité pour les entreprises. Explications ci-dessous.
1) Une obligation issue de la règlementation
Avant toute chose, il est important d’indiquer que l’obligation de former ses collaborateurs à la protection des données personnelles est une des nombreuses obligations figurant dans le très médiatisé Règlement général sur la protection des données (RGPD), qui est entré en application le 25 mai 2018 et qui a mis la protection des données sur le devant de la scène.
En effet, dans son article 39 qui détaille les missions du délégué à la protection des données (fameux Data Protection Officer – ou DPO), le texte indique qu’il est de son devoir de « contrôler le respect du présent règlement […] et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant »[1].
Si le RGPD ne précise pas la manière dont cette sensibilisation et formation RGPD doit se faire, l’on peut imaginer que toutes les formes de dispense de formations « classiques » sont autorisées : formation intra-entreprise, formation inter-entreprises, formation en présentiel, e-learning, webinar, etc.
L’avantage de la multiplicité de ces méthodes de formation est qu’elles s’adaptent aux différents acteurs de l’entreprise, aux sujets sur lesquels ils doivent être formés et, surtout, au budget, que les entreprises veulent engager en la matière.
Le RGPD ne précise pas non plus qui doit faire l’objet de cette formation exactement, à part indiquer qu’il doit s’agir du « personnel participant aux opérations de traitement ».
De manière purement opérationnelle, et pour appliquer au mieux cette directive très large, l’on privilégiera dans un premier temps l’aspect « sensibilisation » de l’article du RGPD en préconisant une sensibilisation générale de l’ensemble des collaborateurs, pour ensuite se focaliser sur la « formation » des acteurs clefs de l’entreprise.
En matière de sensibilisation, les grands régulateurs en matière de protection des données et de cybersécurité ont privilégié le e-learning en publiant des MOOC disponibles gratuitement sur leur site internet et à destination du plus grand nombre. D’un côté la Commission nationale de l’informatique et des libertés (CNIL) a très récemment publié son MOOC : https://www.cnil.fr/fr/la-cnil-lance-sa-formation-en-ligne-sur-le-rgpd-ouverte-tous et d’un autre côté l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a aussi mis en ligne gratuitement son MOOC SecNumacadémie : https://www.ssi.gouv.fr/actualite/secnumacademie-le-nouvelle-formation-en-ligne-met-la-cybersecurite-a-la-portee-de-tous/.
En matière de formation, il s’agit dans un premier temps d’identifier les acteurs de l’entreprise pour lesquels il est nécessaire d’aller au-delà d’une simple sensibilisation. Le délégué à la protection des données, si l’entreprise en a désigné un, est bien évidemment l’acteur prioritaire à former puisque ce dernier doit disposer de « connaissances spécialisées du droit et des pratiques en matière de protection des données »[2].
Des fonctions au sein de l’entreprise qui sont amenées à être d’autres acteurs clefs dans les principaux traitements de données personnelles comme les collaborateurs du service des ressources humaines, du service en charge des actions de marketing ou de suivi de clientèle ou encore du service informatique sont aussi des cibles à considérer pour une formation plus approfondie en matière de protection des données.
N’oublions pas non plus certains secteurs d’activités dont le cœur d’activité consiste en la manipulation de données « sensibles » comme par exemple le secteur de la santé (hôpitaux, cliniques, associations, mutuelles, assurances) pour lesquels il est indispensable de s’assurer que leur formation est adéquate à la sensibilité des données traitées (plus d’information dans cet article health data hub).
2) Un avantage pour la sécurité de l’entreprise
Outre le l’obligation légale que constitue l’obligation de former ses collaborateurs, la formation est aussi considérée comme étant une des mesures de sécurité organisationnelle requise par le RGPD.
En effet, l’obligation de sécurité appropriée des données à caractère personnel est un des principes fondateurs du RGPD et doit passer par des « mesures techniques ou organisationnelles appropriées »[3]. Sans rentrer dans le détail de ces mesures de sécurité, parmi les mesures de sécurité organisationnelles il est clair qu’une sensibilisation des collaborateurs à la protection des données et notamment à la sécurité des traitements de données personnelles est indispensable.
Lorsque l’on parle de sécurité des données personnelles, au-delà de toutes les mesures techniques qui peuvent être mises en place, les risques reposent souvent sur le facteur humain et plus ce facteur humain est sensibilisé, plus le risque est réduit.
L’on dit souvent qu’une chaîne a la force de son maillon le plus faible et c’est ici facile à illustrer : prenons par exemple un des cauchemars actuels des services informatique qui est celui de l’ouverture d’un email (et d’une pièce jointe) par un salarié de l’entreprise, dans lequel se trouve un virus (bien souvent un ransomware) qui infecte ainsi tout le système informatique. Si ces virus ne sont pas nouveaux, leur multiplication et impact sur les données personnelles figurant dans les systèmes d’information de l’entreprise deviennent de plus en plus importants. Seule une sensibilisation à minima, ou si possible une formation en matière de sécurité informatique, permet d’endiguer dès le départ ce phénomène : si vos collaborateurs connaissent les bons réflexes, la méthode à suivre et ont conscience de l’impact que ces attaques ont (notamment) sur les données personnelles traitées par l’entreprise, alors ce travail de formation aura été bénéfique.
Un autre exemple qui peut être donné est celui de la « violation de données à caractère personnel », plus connue sous son appellation anglaise de « data breach », qui est une faille de sécurité affectant des données personnelles au sein de l’entreprise. Le RGPD impose désormais une notification de ces évènements, ce qui explique en partie la multiplication des communiqués de presse d’entreprises diverses et variées sur le sujet. Dans ce cas aussi, lorsque les collaborateurs sont sensibilisés aux différentes obligations en matière de protection des données qui doivent être mises en place lorsque qu’un tel évènement se produit, l’entreprise peut donc réagir non seulement rapidement, mais aussi de manière appropriée pour protéger ces données.
3) Un investissement à long terme pour la conformité de l’entreprise
Au-delà de l’avantage clef de la formation de vos collaborateurs en matière de sécurité des données personnelles, cette formation permet aussi à l’entreprise de rester en conformité à la règlementation de manière pérenne.
En effet, une fois les principales obligations du RGPD mises en place dans l’entreprise (établissement du registre, mise en place des politiques et procédures requises par le principe d’accountability, sécurisation des systèmes d’information, formation du personnel) il ne faut pas perde de vue que cette mise à niveau doit se maintenir dans le temps.
Quel que soit le niveau de conformité des organismes à la règlementation sur la protection des données, que ce soit le RGPD mais aussi la loi Informatique et liberté ou d’autres règlementations françaises ou européennes en la matière, il est important de garder en tête que l’application de cette règlementation passe obligatoirement par les collaborateurs.
Inculquer régulièrement aux collaborateurs les bons réflexes et les bonnes pratiques à mettre en place pour respecter la protection des données permet à l’entreprise d’impliquer ses ressources dès le départ et ainsi appliquer un autre principe cher au RGPD : le Privacy by Design.
Le Privacy by Design ou la prise en compte de la protection des données dès la conception (d’un projet, d’un traitement de données, d’un logiciel, d’une base de données, etc.) ne peut se faire sans sensibiliser les collaborateurs : tous les acteurs du projet doivent avoir le même niveau d’information en la matière pour permettre une conformité totale de l’entreprise.
Assurer une conformité pérenne de l’entreprise, par la sensibilisation de l’ensemble des collaborateurs et par la formation de certain d’entre eux, aussi bien en matière de sécurité qu’en matière de protection des données dans l’ensemble des domaines d’activité permet ainsi non seulement d’aborder sereinement tout contrôle potentiel de l’autorité de contrôle en la matière (la CNIL en France, mentionnée plus haut : https://www.cnil.fr/professionnel) mais permet aussi d’en faire un avantage concurrentiel.
Beaucoup d’entreprises se prévalent aujourd’hui d’une conformité RGPD mais en l’absence de toute certification officielle, c’est sur la durée que va se constater cette conformité : un personnel formé à la protection des données sera bien plus à même de prouver cette conformité dans leurs activités quotidiennes qu’une simple mention sur un site internet.