À l’approche de la date d’application effective du Règlement Général sur la Protection des Données (RGPD), les récentes études montrent que 64% des collaborateurs s’estiment insuffisamment sensibilisés aux RGPD. C’est un peu problématique puisque la maitrise par les salariés du RGPD constitue l’un des points clés de la bonne application du nouveau règlement sur la protection des données. Ce n’est donc pas sans raison si l’art 39 du RGPD affirme que la sensibilisation et la formation du personnel constituent l’une des missions principales du DPO.
La nécessité de former l’ensemble du personnel de l’entreprise sur les grands enjeux du RGPD
La mise en application des obligations imposées par le RGPD oblige les entreprises à sensibiliser l’ensemble de leur personnel sur les grands enjeux de la nouvelle règlementation sur la protection des données. Il faudra alors rappeler ce que l’on entend vraiment par donnée personnelle, l’importance de leur protection, les risques inhérents à leur traitement. Ce genre d’information basique peut être facilement assimilé par une personne n’ayant aucune connaissance spécifique en protection des données. Dans tous les cas, les entreprises devront utiliser tous les moyens pour faire comprendre les enjeux de la nouvelle règlementation à l’ensemble de leur personnel : intranet, newsletter, affiche, tutoriels vidéo, formation en ligne…
Des formations plus pointues pour ceux en contact direct avec les données
Ceux en contact direct avec les données traitées par l’entreprise (les populations à risque) doivent suivre une formation RGPD plus ciblée et plus pointue. On entend ici par population à risque les responsables des ressources humaines, les responsables des services marketing et les responsables des services commerciaux. La formation qu’ils suivront les informera sur les pratiques à bannir dans leur profession en raison de leur opposition aux principes prônés par le RGPD : constitution de CVthèque à partir de LinkedIn, non prise en compte des nouvelles normes dans les contrats avec les partenaires, enregistrement des données personnelles sensibles (orientation sexuelle, orientation religieuse, opinion politique…
Modifier la conduite des opérations de traitement
Une catégorie particulière du personnel doit faire l’objet d’une attention encore plus poussée : les membres des équipes de la DSI. Les membres de ces équipes doivent suivre une formation afin de changer la manière dont ils réalisent les projets de traitement. Les principes fondamentaux prônés par le RGPD comme le « privacy by design » ou encore le « privacy by default » doivent être intégrés dans leur processus de travail. Les développeurs informatiques, les chefs de projet, les responsables de la sécurité informatique, tout le monde est concerné par cette opération. Et surtout, il est indispensable d’informer les responsables du traitement sur les nouvelles obligations qu’ils devront respecter.
Formation du DPO : à ne pas laisser pour compte
Même si le DPO est un spécialiste de la protection de données, le faire suivre une formation RGPD sera toujours un plus pour l’entreprise. Ce sera l’occasion pour lui de renforcer ses connaissances et surtout d’apprendre de nouvelles méthodes pour transmettre son savoir aux collaborateurs de l’entreprise : dirigeants, personnel, DSI…