Après le vote, le 13 décembre dernier, du projet de loi relatif à la protection des données personnelles, la nouvelle règlementation européenne sur la protection des données (RGPD) entrera en application dès le 25 mai 2018.
En France, ce nouveau règlement remplace la loi « Informatique et Libertés » rendue obsolète par les récentes évolutions technologiques (objets connectés, Intelligence Artificielle, Big Data…). L’objectif du nouveau règlement est à la fois de renforcer et d’harmoniser le cadre de la protection des données au sein des entreprises et organisations, et de protéger les consommateurs en renforçant leurs droits.
Au-delà d’une nouvelle contrainte éthique pour les entreprises, ce nouveau règlement est un cataclysme pour les spécialistes de la relation client qui devront dès demain être aptes à prouver qu’ils sont capables de protéger et effacer les données de leurs clients à tout instant. Et le RGPD compte frapper fort pour dissuader les fraudeurs qui risqueront de se voir prélever jusqu’à 4 % de leur chiffre d’affaires mondial, ou 20 millions d’euros.
A moins de quatre mois de l'entrée en vigueur de la nouvelle législation, Skillup s’est interrogé sur l’impact qu’auraient ces nouvelles obligations pour le monde de la formation professionnelle.
Le RGPD et les acteurs de la formation professionnelle
Le RGPD vise à défendre les droits et libertés des individus par la protection de leurs données personnelles. Au sens de la loi, est une donnée personnelle toute donnée permettant d'identifier directement ou indirectement une personne physique (par exemple un nom, un prénom, un e-mail, une photo, une vidéo… ou encore des données de connexion).
Toutes les entreprises et organisations collectant des données utilisateurs seront donc concernées, et les acteurs de la formation professionnelle seront eux aussi impactés, et en premier lieu :
• Les éditeurs de Learning Management Systems (LMS)
• Les éditeurs de Talent Management Systems (TMS)
• Et de manière plus générale tous les acteurs du digital Learning
En effet, les données associées aux traces d’apprentissage, temps et heures de connexion, type de ressources pédagogiques consultées… Représentent des données sensibles.
Par ailleurs, les organismes de formation qui collectent une grande quantité de données personnelles ne seront pas épargnés, et la gestion des documents obligatoires (conventions de formation, évaluations des formations par les stagiaires, feuilles d’émargement…), si elle n’est pas adaptée aux nouvelles règles, pourrait bientôt devenir illégale.
Enfin les responsables formation qui font appel à des prestataires devront désormais, pour être en conformité vis-à-vis des collaborateurs, s’assurer que figureront dans tous les contrats de prestation, des clauses encadrant l’utilisation de ces données.
Comment se mettre en conformité avec le RGPD
Tous les acteurs de la formation sont donc concernés et doivent se mettre en conformité avec le Règlement Général sur la Protection des Données.
Voici quelques mesures à prendre d’ici mai 2018 pour éviter d’éventuelles sanctions.
1. Désigner un DPO : Délégué à la protection des données
Le DPO pour Digital Privacy Officer est la personne chargée de piloter la mise en conformité des activités de l’entreprise. C’est elle qui supervise les initiatives de protection des données nécessaires pour être en conformité avec le RGPD au sein de votre organisation. Vous pouvez choisir de promouvoir une personne en interne ou de recruter une nouvelle personne.
2. Cartographier le traitement de données pré-RGPD de votre entreprise en vous posant les questions suivantes
• Quelles données traitez-vous ?
• Quelle est la finalité de la collecte de ces données ?
• Ces données ont-elles été obtenues dans un cadre autorisé pas le RGPD ?
• Combien de temps conservez-vous ces données ?
• Quelles mesures de sécurité sont déjà en place pour protéger ces données ?
3. Prioriser les actions à mener pour vous conformer aux obligations à venir
Après avoir cartographié le traitement de données personnelles au sein de votre entreprise, identifiez, pour chacun d’eux les actions à mener pour vous mettre en conformité avec le nouveau règlement
4. Mener une étude d’impact sur la vie privée « EIVP »
L’analyse d’impact (DPIA) vise à construire des traitements de données respectueux de la vie privée. Elle n’est pas obligatoire pour l’ensemble des traitements, mais uniquement pour ceux présentant « un risque élevé pour les droits et libertés des personnes physiques ». (Quelques exemples pour lesquels la réalisation d’une analyse d’impact est obligatoire : traitements à grande échelle, vidéosurveillance, données de santé, opinions politiques, orientation sexuelle, données biométriques, de données relatives à des condamnations pénales et à des infractions…).
5. Intégrer le RGPD dans tous les processus en place
Après avoir réalisé un audit de votre traitement des données personnelles, il faudra mettre en place de nouvelles procédures internes pour garantir la protection des données à tout moment, et en tenant compte de l’ensemble des événements pouvant survenir (ex : faille de sécurité, demandes de rectification, changement de prestataire…).
6. Rassembler les preuves de la mise en conformité de votre entreprise
A partir de mai 2018, les entreprises devront être en mesure de prouver leur conformité en la documentant : EIVP, cartographie, processus… Nous vous recommandons de constituer et regrouper un dossier documentaire pouvant démontrer que votre traitement des données personnelles est conforme au nouveau règlement.