Comment sensibiliser et former vos collaborateurs au RGPD ?

RGPD : De quoi parle-t-on ?

Le RGPD signifie Règlement Général sur la Protection des Données. Ce règlement complète la loi Informatique et Libertés de 1978 et s’applique dans les pays de l’Union européenne depuis 2018.

Ce texte a été mis en place afin d’harmoniser la façon dont sont traitées les données personnelles au sein de l’UE. Il poursuit plusieurs objectifs :

• Renforcer et protéger les droits des personnes
• Responsabiliser les acteurs traitant des données à caractère personnel
• Assurer la libre circulation des données entre les pays de l’Union européenne

Le RGPD témoigne d’une adaptation du contexte juridique aux évolutions technologiques récentes : réseaux sociaux, sites e-commerce, services cloud, etc.

Qu’est-ce qu’une donnée personnelle ?

Le terme « donnée personnelle » englobe toute information se rapportant à une personne physique identifiée ou identifiable.

On distingue les données personnelles permettant une identification directe :

• Nom
• Prénom

Et les données permettant une identification indirecte :

• Numéro de téléphone
• Numéro de sécurité sociale
• Identifiant client
• Photo ou vidéo
• Enregistrement vocal
• Donnée biométrique
• Adresse postale
• Etc.

RGPD : Qui est concerné ?

Toute entreprise assurant la collecte, la diffusion, la conservation, la modification, la consultation, l’utilisation ou toute autre forme de mise à disposition portant sur des données personnelles est considérée comme opératrice du traitement de données personnelles et peut être concernée par le RGPD.

Plus précisément, ce règlement s’applique à toute organisation, publique comme privée, qui traite des données personnelles et :

• Qui est établie dans un pays membre de l’Union européenne
• Ou dont l’activité cible des résidents européens, même si l’entité est établie hors de l’UE.

Ainsi, même une entreprise établie en Australie, aux Etats-Unis ou en Chine peut être soumise au RGPD selon son activité.

Quels collaborateurs former dans le cadre du RGPD ?

D’après l’article 39 du RGPD, le DPO doit assurer « la sensibilisation et la formation du personnel participant aux opérations de traitement ».

Au vu du très large panel de données personnelles existantes, de nombreux collaborateurs et services peuvent être amenés à participer à leur traitement. Il peut s’agir :

• Du service RH : c’est le service concerné par excellence. Les ressources humaines ont accès à toutes les données personnelles des collaborateurs ainsi qu’à celles des candidats postulant à des offres d’emploi.
• De l’équipe marketing / web : ces équipes analysent constamment les données et le comportement des utilisateurs, qu’il s’agisse des données d’utilisation d’un site Internet ou bien des retombées d’une campagne publicitaire.
• Des commerciaux : ils ont accès et traitent les données des clients existants et des prospects.
• Du service comptabilité : les comptables ont également accès à de nombreuses données sensibles comme des adresses ou des coordonnées bancaires.
• Du service IT : le service informatique peut être amené à gérer des comptes utilisateurs et avoir accès à certaines données personnelles.

Comment former efficacement ses collaborateurs dans le cadre du RGPD ?

E-learning, formations synchrones, webinaires… Les solutions ne manquent pas pour sensibiliser vos collaborateurs au RGPD. Voici nos 3 principaux conseils pour former efficacement vos équipes.

Intégrer un chapitre RGPD dès l’onboarding

Afin d’assurer une sensibilisation efficace, il est important de poser les bases dès l’arrivée d’un nouveau collaborateur. Si vous positionnez la conformité en tant que culture d’entreprise, les nouveaux arrivants auront tendance à faire beaucoup plus attention et à respecter les bonnes pratiques.

Inscrire ses collaborateurs à des modules e-learning

Les formations e-learning séduisent de plus en plus par leur modèle asynchrone qui permet à chaque apprenant d’avancer à son rythme. Moins contraignantes que des formations en présentiel, les modules e-learning sont accessibles à toute heure du jour et de la nuit, depuis n’importe où, ce qui permet également de réduire les coûts de formation pour l’entreprise.

D’ailleurs, la CNIL a mis en place sa propre formation e-learning dédiée au RGPD. Nommée « l’Atelier RGPD », il s’agit d’une formation gratuite et accessible à tous permettant de sensibiliser les professionnels au RGPD à travers 6 modules :

• Le RGPD et ses notions clés
• Les principes de la protection des données
• La responsabilité des acteurs
• Le DPO et les outils de la conformité
• Les collectivités territoriales
• Travail et données personnelles

Ce parcours d’une durée d’environ 20 heures est agrémenté de nombreux quiz qui permettront de valider l’acquisition de nouvelles connaissances.

Organiser des sessions de formations internes

L’une des principales solutions pour sensibiliser vos collaborateurs reste de faire appel à des formateurs experts du sujet, qui pourront se déplacer dans vos locaux afin d’adapter la formation à la situation spécifique de votre organisation.

Si vous en avez la capacité, l’idéal est d’organiser d’abord une réunion générale avec tous les employés, afin de leur présenter les grands principes du RGPD. Puis, dans un second temps, vous pourriez organiser une session de formation dans chaque service concerné, afin que le formateur adapte son discours et ses conseils à l’activité spécifique de chaque service.