La formation RGPD est-elle réservée aux Data Protection Officer ?

Le RGPD entré en vigueur depuis maintenant près de sept mois, la formation aux grands principes de ce nouveau règlement européen est un enjeu-clé pour les sociétés, la culture de la data privacy peinant à s’ancrer dans les entreprises. En effet, nombreux sont les collaborateurs s’estimant insuffisamment formés au sujet du Règlement Général sur la Protection des Données et de ses exigences. Pourtant, l’enjeu est de taille, les internautes étant désormais attentifs à l’utilisation de leurs données personnelles et les sanctions, en cas de non-respect du RGPD, étant particulièrement sévères.

L’une des missions principales du DPO, Délégué à la protection des données dont la nomination est obligatoire pour les sociétés concernées par le RGPD, porte justement sur la sensibilisation et la formation du personnel quant aux opérations de traitement des données personnelles. L’article 39 du RGPD insiste sur ce point, la connaissance de ce nouveau cadre législatif européen devant être diffusée au sein de l’ensemble des collaborateurs. Et pour cause, à quoi bon mettre en place un ensemble de dispositifs techniques complexes ainsi que de solides process organisationnels respectant les exigences du RGPD, si les salariés ne les appliquent pas par méconnaissance ?

L’ensemble des collaborateurs doivent être formés au RGPD

Afin de sensibiliser les collaborateurs aux enjeux de la conformité au Règlement Général sur la Protection des Données, une entreprise dispose déjà en interne de nombreux outils de communication tels que les newsletters, un intranet, un tableau d’affichage, etc. Des formations sous forme de sessions en présentiel, tutoriels vidéos ou e-learning sont également envisageables.

Coheris propose des formations destinées aux entreprises et leurs collaborateurs concernant la mise en conformité avec le RGPD. Ces sessions de formation sont adaptées à différents publics, qui peuvent ainsi être sensibilisés à l’enjeu de la protection des données en fonction de leurs secteurs et leurs responsabilités. Les bases du RGPD sont abordées en détails, puisque ces basiques concernent potentiellement chaque salarié d’une même société. Il convient notamment de rappeler ce qu’est une donnée personnelle, notion-clé au cœur du RGPD ainsi que les enjeux de protection qui en découlent.

Il est intéressant durant les formations au RGPD de mettre l’accent sur les actifs de la génération Y, déjà fortement rôdés au numérique. Ces derniers sont, en effet, plus enclins à oublier certains principes de confidentialité essentiels en entreprise, ce qui les pousse à adopter des comportements à risque. Tout organisme devrait porter une attention toute particulière à la formation de l’ensemble de son personnel quant au RGPD, et pas uniquement de son DPO, qui de surcroît est censé s’autoformer continuellement à ce sujet. La sensibilisation à la protection des données personnelles peut ainsi être couplée à une réactualisation de la charte utilisateurs rappelant que chaque collaborateur peut voir sa responsabilité engagée en cas de non-respect des grands principes du RGPD, recevoir un avertissement voire même être licencié pour faute. De cette manière, les salariés ne pourront pas faire valoir le fait qu’ils n’étaient pas au courant.

Des formations RGPD destinées aux équipes RH, Marketing et Achats, secteurs sensibles

Les collaborateurs les plus exposés au traitement de données personnelles doivent bénéficier de formations plus poussées, tels que les salariés des secteurs RH, marketing et achats. Ces derniers sont en effet constamment en contact avec des informations personnelles d’utilisateurs en provenance de candidats, de clients et de fournisseurs. Les chargés de recrutement doivent, par exemple, savoir qu’ils ne peuvent pas se constituer leur propre CVthèque à partir de Linkedin ou Viadeo, quand bien même les utilisateurs ont rendu leurs profils publics sur ces plateformes sociales.

Les collaborateurs exerçant dans les secteurs du marketing et des services support, notamment les opérateurs de la relation client et les commerciaux, doivent quant à eux porter une attention toute particulière au renseignement des champs en texte libre dans les solutions CRM, de manière à éviter la compilation de données dites sensibles, portant par exemple sur l’orientation sexuelle ou bien la religion d’une personne.

Les équipes de la DSI doivent impérativement être sensibilisées au RGPD

Autres salariés dont la formation aux principes du RGPD s’avère essentielle : les équipes de la DSI (Direction des Services Informatiques). Il s’agit alors de leur faire prendre conscience de la nécessité d’intégrer le respect de la vie privée des utilisateurs dès la conception d’une base de données, d’un service ou d’une application. Ces équipes doivent, selon le principe du “privacy by design” et du “privacy by default” fixer dès le départ d’un projet IT le niveau de sécurisation des données personnelles le plus élevé possible. Tout le monde est alors concerné, le chef de projet bien évidemment, mais également le développeur et l’administrateur.

Des formations RGPD élevées pour le DPO, le CIL et le responsable de traitement

Les niveaux de formations RGPD les plus élevés sont destinés aux responsables de traitement et aux DPO. Les responsables de traitement doivent notamment intégrer de nouvelles obligations énoncées par le Règlement Général sur la Protection des Données, entre autres la tenue d’un registre des traitements de données. Le gérant de la société, qui a une responsabilité juridique quant à la protection des informations personnelles, mais également ses adjoints qui pour leur part possèdent une responsabilité opérationnelle dans la bonne conformité du RGPD, doivent également être formés.

Pour finir, le Délégué à la protection des données (DPO) doit suivre des cursus élevés de formation au RGPD. Certains ateliers sont destinés aux Correspondants Informatique et Libertés (CIL), afin de les accompagner dans la mise à niveau de leurs connaissances vis-à-vis de ce nouveau cadre législatif.