Et sinon le RGPD sur le terrain, ça se passe comment ?

Je préviens : cet article n'est pas politiquement correct.

Personne n'a pu échapper à cette information : le RGPD entre en vigueur le 25 mai.

Loin de moi l'idée de remettre en cause le bien-fondé de ce nouveau règlement : en tant que citoyens, nous ne pouvons que nous réjouir du fait que nos données personnelles soient désormais mieux protégées. Mais peut-on se dire une fois, et sincèrement, que sa mise en ½uvre dans les entreprises n'est pas une sinécure.

Une opportunité certes, mais aussi de réelles difficultés de mise en oeuvre

J'ai lu, comme beaucoup, tous ces articles qui se font forts de nous persuader, façon méthode Coué, que le RGPD constitue une opportunité. Cela me fait un peu penser à un déménagement : on se dit toujours que c'est une bonne occasion de faire du tri mais cela reste néanmoins une tâche bien fastidieuse.

J'entends ceux qui diront que nous avions le temps de la mise en ½uvre puisque ce texte a été adopté en avril 2016. A ce propos, heureusement que les entreprises n'ont pas attendu l'adoption du texte par l'Assemblée Nationale qui a eu lieu...le 14 mai 2018 ! En réalité, la problématique ne se situe pas dans le délai imposé mais dans l'identification des actions concrètes à mettre en place. La CNIL s'est avérée très efficace ces derniers mois, en mettant à disposition des entreprises une série d'outils pratiques, en décryptant les grandes lignes du règlement... et en mettant en garde contre la multitude d'experts spontanés qui voient dans le RGPD une formidable source de business. Une aide bienvenue, mais pas de boîtes à outils prêtes à l'emploi, ni de formulations-types ou de bonnes pratiques à mettre en ½uvre pour être réellement conformes.

Dans les coulisses de la mise en conformité

Parce que dans la vraie vie, au sein des entreprises, comment ça s'est passé ?

Tout d'abord, il a fallu essayer de comprendre qui est vraiment concerné, ce que cette nouvelle réglementation impose pour savoir quoi faire, et enfin savoir comment faire, c'est-à-dire mobiliser les différents services impactés pour mettre en place, voire imaginer, de nouveaux process. A grands renforts de webinars foisonnants, de formations et autres paroles d'experts, nous avons vite compris que les discours divergeaient. Les avocats eux-mêmes avancent prudemment qu'il faudra attendre des jurisprudences pour ajuster au besoin les pratiques. Pas sûre que les premières entreprises sanctionnées se réjouiront de participer à l'éclaircissement du sujet pour leurs pairs... C'est bien là tout le problème lorsqu'on se trouve face à un texte qui laisse une grande place à l'interprétation.

Concrètement, en l'absence d'armée de consultants et conseils qu'elles ne sauraient s'offrir, les PME doivent la plupart du temps se débrouiller avec les équipes en place, au risque de déplacer une partie de leurs priorités business vers ce projet, qui répétons-le pour nous en convaincre et nous rassurer, est également une formidable « opportunité »...

Les données des salariés, point commun à toutes les entreprises

Toutes les entreprises sont concernées certes, mais selon leur activité, les process à mettre en ½uvre sont plus ou moins complexes. On imagine sans peine qu'entre un e-commerçant et une petite agence de communication, le volume et la gestion des données personnelles ne sont pas les mêmes.

En revanche, un service est systématiquement impacté dans toutes les entreprises : les Ressources Humaines. En effet, les données concernant les salariés contiennent, par définition, des éléments à caractère personnel. Certaines de ces données sont classées « sensibles », selon la définition du RGPD : par exemple, les informations liées à la santé ou au handicap. Il peut être nécessaire de les recueillir pour la bonne exécution du contrat de travail, mais comment assurer leur sécurité ? Et s'assurer que les données seront bien supprimées lorsqu'elles ne seront plus nécessaires ? Il faut alors repenser ses archives, ses dossiers du personnel, sa Base de Données Economiques et Sociales également, qui peut comporter des données personnelles. Et se poser, à chaque étape, une série de questions : la sécurité est-elle suffisante ? Les données recueillies indispensables ? Des échanges avec les services informatiques sont alors incontournables.

Quant à la notion d'information des salariés et des candidats qui doit également être renforcée, la question se pose de la forme à adopter pour respecter la réglementation.

Les collaborateurs des services RH ont donc été mobilisés sur le sujet... en plus du quotidien.

Cet article ne contre-balancera jamais l'impressionnant volume de contenus déjà publiés vantant les bénéfices du RGPD. Et je répète, au besoin, qu'il n'est pas question de les remettre en cause. Mais faire entendre les retours du « terrain », reflet de ce qui se dit, s'échange entre pairs, se vit au quotidien me semble important. Sans aller jusqu'à rêver d'un mode d'emploi pour appliquer une éventuelle prochaine réglementation, une prise en compte des difficultés rencontrées dans les entreprises et notamment les PME, est à mon sens nécessaire. Et pas seulement en France : selon une étude Capgemini de mai 2018, 85 % des entreprises européennes et américaines ne seront pas prêtes à appliquer le règlement, le 25 mai. Et une sur quatre ne le sera toujours pas à la fin de l'année.

Les Editions TISSOT : qui sommes-nous ?

Depuis plus de 40 ans, les Editions Tissot proposent des solutions pour faciliter l'application en entreprise du droit du travail, de la paie, de la santé-sécurité, de la comptabilité et fiscalité et du management en les rendant accessibles aux non-experts.

Nos services et documentations permettent aux dirigeants et responsables du personnel dans les PME de bénéficier de conseils opérationnels pour gérer leur personnel et appliquer la réglementation du droit du travail en toute simplicité. La même exigence de praticité est portée aux autres thématiques traitées à destination des ingénieurs sécurité, des comptables, des managers, etc.