Assurer la formation de ses collaborateurs à la protection des données

Publié le 15 juin 2020 RGPD

Le règlement européen sur la protection de données fait suite à la loi informatique et libertés de 1978. Le cadre règlementaire de cette disposition est qu’elle permet de garantir le droit des personnes concernées et surtout va responsabiliser les entreprises sur les traitements de données. Cette disposition de protéger les données sensibles est indispensable aussi bien pour le secteur public que privé et se situant sur le territoire de l’U.E.

Se protéger des attaques externes en assurant la sécurité des données

Bien souvent, la formation des collaborateurs n’est pas la priorité des entreprises pourtant, ils doivent tout faire pour être mis en conformité avec le RGPD. Former ses collaborateurs et ses partenaires d’affaires permet à la société de respecter ses obligations légales mais aussi d’avoir un avantage en plus face à ses concurrents et de se protéger de toute violation des droits des personnes.

D’ailleurs, cette formation au traitement des données personnelles est une obligation importante du règlement général ! Il faut noter que cette nécessité de protection des données à caractère personnel et cette sensibilisation RGPD est mentionnée dans l’article 39 du RGPD qui met en avant toutes les missions du DPO ou Data Protection Officer. Le délégué à la protection des données collectées doit :

  • Contrôler le plan de mise en conformité de l’entreprise;
  • S’assurer que le responsable du traitement respecte les règles en termes de traitement des données sensibles ;
  • S’assurer du partage de responsabilité ;
  • Sensibiliser à la formation du personnel pour se mettre en conformité ;
  • Faire des audits pour attester du suivi régulier et systématique des nouvelles obligations.

Quelles sont les méthodes utilisées pour se former à la protection des données RGPD ?

Le nouveau règlement RGPD n’énonce pas clairement la façon dont doit se faire la formation et la sensibilisation RGPD. Toutefois, afin de mettre en place un traitement de données efficace, une formation est de mise. Ça peut être des formations classiques comme un webinar, une formation en présentiel ou encore une formation intra ou inter-entreprise. L’usage d’un logiciel rgpd peut aussi aider.

L’avantage d’avoir un large choix de techniques de formation, c’est de s’adapter aux enjeux et aux acteurs dans l’entreprise et surtout à ses finances. En termes de protection des données personnelles, toutes les personnes qui les manipulent doivent à tout prix participer à la formation. Dans un premier temps, il est recommandé de faire une sensibilisation générale de tous les collaborateurs avant de se concentrer sur les chefs d’entreprise et les prestataires. Puis, il faudra tenir un registre des traitements rgpd pour un meilleur suivi des démarches.

La place du e-learning dans la protection des données personnelles

Dans le cadre du traitement des données à caractère personnel et pour se protéger d’une cyber-attaque, la méthode du e-learning est à mettre en avant. Les entreprises tendent à publier des MOOC sur leur plateforme afin que chacun puisse y avoir accès. L’autorité de contrôle ou la Cnil a même publié sur son site un MOOC à disposition du plus grand nombre et c’est le cas également pour l’ANSSI ou l’Agence Nationale de la Sécurité des Systèmes d’information proposant aussi un MOOC SecNumacadémie.

Lors de la formation, quelques étapes sont à suivre afin de démontrer la conformité de l’entreprise au RGPD :

  • Identifier les acteurs de l’entreprise traitant une donnée à caractère personnel ;
  • Former le DPO sur la gestion des données à caractère personnel ;
  • Former les employés du secteur des ressources humaines ainsi que ceux dans le volet marketing ;
  • Faire une formation approfondie au niveau du service information sur la protection de la vie privée des personnes physiques concernées ;

Comme nous l’avons dit, même le service public se doit de faire une mise en conformité avec le RGPD. C’est le cas par exemple des hôpitaux, des associations ou des assurances, devant obligatoirement garantir le respect des droits et libertés des patients, et d’être sensibilisés sur les données à caractère personnel traitées ainsi que leurs finalités.

La sécurité de l’entreprise : un enjeu de taille

L’entreprise doit obligatoirement former ses salariés, sous-traitants et collaborateurs mais elle doit aussi mettre en place des mesures organisationnelles adaptées. Comme l’obligation de sécurité est sans aucun doute le principe phare du RGPD, il est indispensable que le traitement des données personnelles se fasse en conformité avec cette disposition et dans le respect de la vie privée d’autrui. Plus le personnel est sensibilisé, plus le risque de violation, de cyber attaques ou de mauvais usage des données est diminué.

Les virus par exemple, sont les attaques les plus susceptibles d’arriver au réseau informatique d’une entreprise. Les employés bien former sauront agir à la base afin de garantir la sécurité des serveurs et des données informatiques. Le « data breach » est aussi un phénomène récurrent. L’entreprise doit notifier cela par des communiqués de presse mais, elle peut agir efficacement et rapidement lorsque tous les collaborateurs sont formés.

Un investissement gagnant pour l’entreprise

Le fait d’effectuer des formations permet à l’entreprise d’être en conformité avec le RGPD et de traiter les données personnelles de façon efficace et visant à respecter les libertés individuelles. Dans le cadre du RGPD, il y a des obligations principales à mettre en avant :

  • L’établissement d’un registre des traitements;
  • La mise en place d’une politique et d’une procédure comptable;
  • La formation de l’ensemble du personnel ;
  • La sécurisation des divers systèmes d’information.

Il est important de noter que peu importe la règlementation que vous suivez : le RGPD, la loi informatique et liberté ou encore d’autres dispositions françaises ou européennes, l’application des règles sur la protection des données passe avant tout par les collaborateurs.

La formation a donc pour mission de donner la possibilité aux collaborateurs d’agir en conséquence et surtout d’avoir les bons réflexes pour que la protection des données soit aboutie. Il est impératif de protéger les données dès leurs conceptions.