Le RGPD c’est maintenant ! DRH, avez-vous clôturé ces 5 actions prioritaires ?

  •  
  •  
  •  
  •  
  •  

Avez-vous aimé cet article ?

La RGPD, c’est maintenant ! Il ne vous reste que quelques jours pour vous mettre en conformité avec ce nouveau règlement général sur la protection des données. Comme les directions marketing et commerciales, votre direction des ressources humaines est en première ligne, au vu du volume de données détenues sur vos salarié.e.s et les candidat.e.s.
Avez-vous bien mis en place ces 5 actions prioritaires ?

1 – Nommez votre DPO (Data Protection Officer)

Cette personne au sein de votre entreprise est le garant de votre conformité aux exigences du nouveau règlement général sur la protection des données, votre “Data Gouvernance”. Recruté ou nommé, c’est l’architecte et le contrôleur responsable de ce sujet transverse à l’ensemble des services de l’entreprise. Vous pouvez également faire appel à un DPO externalisé. Il est obligatoire de déclarer votre DPO à la CNIL .

2 – Un référentiel sécurité documenté

Le référentiel sécurité est particulièrement utile pour les sous-traitants que votre DPO doit exiger. C’est la preuve de l’engagement de mis en conformité de l’entreprise, et de sa garantie pour traiter soit ses propres données, soit celles d’une tierce partie. Par ailleurs, ce document servira de preuve en cas de contrôle par la CNIL.

3 – (Re)Demandez le consentement

Le consentement des personnes doit être “spécifique, éclairé et univoque” sur ce que vous allez faire avec leurs données personnelles : quels tiers y auront accès (même temporairement), le temps de stockage et la finalité, rappel du droit à la rectification et à l’oubli… Avez-vous bien modifié les contrats de travail en conséquence, quitte à les rééditer, ainsi que la charte informatique signée à l’embauche.   

4 –  Sensibiliser votre personnel

L’arrivée du RGPD est une opportunité pour fédérer les collaborateurs autour de valeurs communes sur la transparence. Via une charte, un mini-site, une information diffusée à l’ensemble de votre personnel, c’est le moment de communiquer sur votre politique “Data Friendly”, et former si nécessaire vos salariés via des formations uniquement labellisées par les organismes de contrôle.

5 – La procédure en cas d’incident exceptionnel

En cas d’incident (piratage par exemple) sur les données à caractère personnel dont vous disposez, vous êtes dans l’obligation de prévenir les personnes concernées dans les meilleurs délais, au maximum 72 heures après l’incident. Ce qui amène la question de la sécurité de votre parc informatique, notamment les silos de stockage des données personnelles de vos collaborateur.rice.s. Cette nouvelle loi est très claire, il est de votre devoir de garantir la sécurité de leurs données personnelles et leur conservation au sein de l’Union Européenne.

Pour aller plus loin, nous vous recommandons le replay du webinaire organisée par le Syntec : “RGPD, l’impact dans le secteur du recrutement”, animée notamment par Catherine Dervaux, Directrice RPO & Assessment de Menway.

Vous serez surement également intéressé par

  •  
  •  
  •  
  •  
  •