La mise en conformité des SIRH au RGPD : Le travail ne fait que commencer !
Le Règlement Général sur la Protection des Données personnelles étant entré en vigueur depuis bientôt un an, de nombreux articles ont été rédigés sur le sujet, afin de décrire son contenu, le rôle des acteurs et les obligations légales qui en découlent.
L’enjeu est important pour les applications SIRH dans la mesure où elles gèrent de nombreuses données personnelles sensibles, telles que l’identité du salarié, ses coordonnées bancaires, sa composition familiale et même, depuis peu, son taux d’imposition.
Mais qu’en est-il réellement de l’application de ce nouveau règlement en entreprise ? Les entreprises ont-elles toutes terminé à temps leurs processus de mise en conformité ? Bien entendu la réponse est non car le travail est long : mise en œuvre de nouveaux processus et de nouvelles solutions techniques, rédaction de nouveaux documents, sans oublier la revue de l’ensemble du parc applicatifs, etc.
Dans le cadre de ses missions, mc²i groupe accompagne ses clients dans la mise en conformité au RGPD depuis plus d’une année. Quel premier bilan pouvons-nous en tirer ? En effet, la mise en conformité du SIRH est à réaliser comme un projet à part entière avec une méthodologie et une gouvernance particulière. Quels sont les écueils à éviter et les bonnes pratiques à mettre en œuvre ?
Les clients que nous accompagnons depuis plus d’un an sur le sujet ont suivi dans les grandes lignes la méthodologie projet présentée par la CNIL.
Le choix des acteurs et de la gouvernance constitue le socle d’un projet RGPD Le premier facteur clé de succès identifié par nos consultants, qui contribue à la réussite d’un projet RGPD, est la gouvernance projet mise en place et notamment la nomination du délégué à la protection des données (DPO).
Pour rappel, le DPO a pour objectif de valider l’ensemble des étapes et documents produits, tout en portant la responsabilité de la mise en conformité au RGPD. Cet acteur essentiel doit avoir une bonne connaissance de la règlementation européenne et en maîtriser les enjeux. Certaines entreprises ont fait le choix de confier cette responsabilité à une personne externe à leur organisation afin de bénéficier de connaissances non disponibles en interne. Cela a également pour avantage de travailler avec un acteur neutre, qui n’est pas impliqué dans les jeux politiques internes et pouvant se concentrer sereinement à sa tâche. Le DPO peut être accompagné d’une équipe chargée de la mise en conformité opérationnelle, avec l’aide des responsables de traitements. Pour que la mise en conformité soit efficace, l’équipe projet doit pouvoir s’appuyer sur des acteurs internes (métiers et DSI) et externes impliqués.
L’intégrateur et l’éditeur ont un rôle important à jouer puisqu’ils apportent de la documentation et de l’expertise technique. Ils sont tenus de fournir les registres du sous-traitant et peuvent aussi fournir une pré-qualification des données présentes dans le SIRH (données sensibles, critiques, etc.) et proposer des réponses techniques pour sa mise en conformité.
L’intégrateur et les prestataires en charge des applications RH sont également des maillons essentiels car ils permettent de réaliser un diagnostic complet du SIRH, notamment dans l’identification des liens techniques présents dans le SIRH.
Enfin, comme pour tout projet, une gouvernance et une comitologie adaptées doivent également être mises en place afin de suivre l’évolution des travaux, soulever les points de difficultés et piloter les actions.
Une phase de diagnostic parfois complexe L’étape du diagnostic a pour but de cartographier l’ensemble des processus et des traitements, ainsi que d’identifier les données sensibles de ces traitements.
Cette étape cruciale de la mise en conformité nécessite de suivre une méthodologie précise. La mise en conformité peut s’avérer complexe à cause d’un manque de documentation sur les systèmes et les processus, d’un manque de disponibilité des ressources structurantes mais aussi du fait d’un manque de connaissances sur la réglementation et ses enjeux.
Documentation et accès aux informations structurantes Le manque de documentation technique et des processus clés est un des points les plus marquants. Il n’est pas rare dans les entreprises que la documentation du SIRH soit obsolète, incomplète, voir dans certains cas inexistants. La documentation est pourtant le point d’entrée clé de l’analyse des traitements.
Une documentation insuffisante ou de mauvaise qualité nécessitera une recherche d’informations par l’organisation d’ateliers de travail avec les responsables de traitement (responsables paie, gestion des temps, gestion administrative, GPEC, Formation), l’intégrateur ou l’éditeur.
Eviter les goulots d’étranglements autour des acteurs clés Pour les responsables de traitements, la mise en conformité RGPD a pour conséquence une augmentation non négligeable de la charge de travail.
Pendant cette période du diagnostic, ils doivent gérer leurs tâches quotidiennes en plus des actions de mise en conformité. Il a été noté sur l’ensemble des projets d’accompagnement un effet de goulot d’étranglement autour de ces acteurs dont le temps à consacrer au RGPD est compté. Leur manque de disponibilité peut ainsi avoir un effet sur la durée de la phase de diagnostic. Ils peuvent toutefois déléguer certaines tâches ou analyses aux opérationnels voir à l’intégrateur ou à l’éditeur.
Néanmoins pour que ces délégations soient efficaces, il est nécessaire que l’ensemble des acteurs soit formé aux enjeux du RGPD. Former les acteurs pour une bonne prise de conscience des enjeux liés au RGPD Afin de faciliter l’implication des acteurs mais aussi leur efficacité, il est nécessaire d’accompagner les responsables de traitement et leurs équipes dans une démarche de conduite du changement. Il est en effet primordial que les acteurs soient informés et formés à la règlementation et à ses enjeux. Sur certains projets nous avons en effet constaté qu’une mauvaise compréhension des enjeux de la règlementation pouvait aboutir à une mauvaise priorisation des actions, notamment car le focus a été mis sur la partie « visible » de l’iceberg : l’exercice des droits des salariés.
La formation des acteurs est d’autant plus importante dans le cadre de la mise en œuvre des procédures Privacy by design. Les procédures de Privacy by design sont primordiales mais chronophages Le Privacy by Design est la prise en compte des problématiques RGPD dès la conception et pendant toute la vie d’une application.
Cet aspect nécessite donc une révision des procédures tout au long de la vie du SIRH, depuis le développement de nouvelles applications ou de nouvelles fonctionnalités, jusqu’au processus de maintenance opérationnelle. Les exigences liées au RGPD seront petit à petit intégrées dans les solutions proposées par les éditeurs, mais il est également primordial de pouvoir suivre tout au long de la vie du SIRH sa conformité avec le règlement. Cela nécessite en premier lieu de mettre à jour régulièrement la documentation : cartographie, niveau de criticité des données, mais aussi la gestion de la sécurité et des autorisations.
Permettre aux salariés d’exercer les nouveaux droits Dans un dernier temps, la mise en conformité passe par la mise à jour des systèmes de manière coordonnée, afin de permettre l’exercice des droits des citoyens européens comme par exemple, la mise en place d’un système d’identification de l’ensemble des données d’un salarié et d’un système de purge.
La question de la purge est complexe dans les SIRH, car de nombreuses normes de conservation de données existent déjà1. Certains clients ont souhaité créer des automatismes pour purger les données, mais se sont heurtés à des difficultés imprévues liées notamment à la complexité de ces règles. La mise en œuvre est d’autant plus complexe dans le cas des SIRH internationaux impliquant une normalisation définie pays par pays. Par exemple, aux Etats-Unis, les données n’ont pas de durées limitées de conservation, et les juristes souhaitant se prémunir des contentieux préfèrent garder l’ensemble des données ad-vitam aeternam.
A la vue de ces difficultés, certains clients ont donc choisi de conserver les mécanismes de conservation/ purge de données déjà en place dans leur SIRH sans en modifier les règles. Les entreprises sont aujourd’hui toujours en phase de mise en conformité de leur SIRH et celle-ci restera une des priorités pour l’année 2019.
La réussite de la mise en conformité passe par l’identification claire des acteurs clés (le DPO, les responsables de traitement et les sous-traitants) et par la mise en place d’une gouvernance spécifique. Il est également essentiel que les acteurs soient formés aux enjeux de la réglementation par des actions de conduite du changement afin de permettre une meilleure priorisation des actions et une implication plus forte pendant la phase de mise en conformité mais aussi dans la mise en place de procédures de Privacy-by-design.