LE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES : Se débarrasser du poids des données

Quatre ans de RGPD

Michael Kleine-Beckel, juriste et membre du conseil d'administration de t.serv, connaît les défis à relever et propose des recommandations pour la mise en œuvre. Catrin Schreiner, journaliste spécialisée de Cologne, a réalisé une interview de M. Kleine-Beckel pour le magazine E-3.

Quel est le statu quo dans les entreprises quatre ans après l'introduction du RGPD ?

Michael Kleine-Beckel, t.serv : De nombreuses entreprises ont déjà mis en œuvre les premières mesures et nettoyé les données, d'autres en sont au stade de la conception ou n'ont même pas encore commencé. "Nous préférons attendre, il ne se passera rien" est une phrase que je continue à entendre souvent de la part des entreprises. Cette attitude peut toutefois avoir des conséquences désastreuses. Les sanctions en cas d'infraction sont lourdes. Je dois toutefois admettre que les entreprises du secteur Business-to-Consumer sont jusqu'à présent davantage sanctionnées pour leur mauvaise gestion des données clients. Mais il vaut la peine d'être bien positionné dans le secteur Business-to-Business également, car les réglementations deviendront un jour plus sûres sur le plan juridique et les contrôles plus stricts. Je peux facilement imaginer que les autorités utiliseront à l'avenir des programmes de contrôle automatisés dans ce contexte, comme pour le contrôle fiscal numérique. Les fournisseurs de logiciels seraient alors obligés de les intégrer dans leur solution.

A quoi faut-il faire attention lors de la conception d'une démarche RGPD ?

Kleine-Beckel : D'une part, il s'agit d'aspects juridiques tels que les délais de conservation de différents ensembles de données, par exemple les arrêts maladie et les demandes de congé, ainsi que les délais de suppression, en faisant la distinction entre les suppressions de tableaux et les suppressions complètes d'objets. Chaque enregistrement doit être évalué individuellement, et ce chaque année à nouveau. D'autre part, il s'agit d'aspects techniques. De nombreuses entreprises se focalisent uniquement sur les données personnelles des employés et oublient d'inclure les données des clients et des fournisseurs - qui comptent pourtant aussi comme des données personnelles !

Pourquoi les entreprises ont-elles du mal à aborder ce sujet ?

Kleine-Beckel : Il y a plusieurs pièges à éviter. Beaucoup sont tout simplement dépassés par la grande quantité de données. Plus une entreprise a d'interlocuteurs, plus il est difficile de garder une vue d'ensemble. Dans le doute, une entreprise ne remarque même pas le départ d'un collaborateur - les données sont alors tout simplement perdues. De plus, les suppressions de tableaux sont très complexes et nécessitent une grande familiarité avec le système. Une erreur dans le traitement des données personnelles dans les systèmes informatiques, par exemple dans SAP HCM, est que les concepts de suppression ont souvent été élaborés avant la réalisation sans connaissance du système. Il en résulte que certaines parties du concept sont parfois inutilisables lors de la mise en œuvre, car les déterminants du système visant à préserver l'intégrité des données n'ont pas été pris en compte.

Qu'est-ce qui s'applique spécifiquement aux clients SAP ?

Kleine-Beckel : Les RH aiment collecter des données selon la devise "Je garde ce que je ne dois pas supprimer". Le problème, c'est que les clients SAP sont contraints de migrer leur système RH vers Success Factors ou la nouvelle solution H4S4 d'ici 2027. Cette dernière est basée sur une base de données Hana qui conserve les données en mémoire. Plus une entreprise a besoin de mémoire, plus la base de données est chère. Il est donc judicieux, ne serait-ce que pour des raisons de coûts, de trier les données. Les recruteurs devraient donc changer leur façon de penser : tout ce qui ne doit pas être conservé ou qui n'est pas nécessaire doit être supprimé. Il s'agit par exemple d'informations sur le CV d'un collaborateur qui remontent à plusieurs années. Les employés sont d'ailleurs de plus en plus attentifs à ce qui se passe avec leurs données, non seulement dans leur vie privée, mais aussi dans leur vie professionnelle. La protection des données n'est pas encore aussi présente que le thème de la durabilité, mais elle gagne définitivement du terrain.

Dans quelle mesure un prestataire de services informatiques peut-il apporter son soutien ?

Kleine-Beckel : En y regardant de plus près, la suppression de données est également un projet comme un autre. Il existe une procédure de projet standardisée qui réunit tous les thèmes et toutes les parties concernées. Les prestataires de services peuvent conseiller sur le contenu, développer avec le client une bonne solution juridiquement sûre et procéder au premier nettoyage des données. Pour cela, ils doivent être formés techniquement et professionnellement. Il est important de noter que les prestataires de services ne peuvent pas donner de conseils juridiques. Cela signifie que les clients sont eux-mêmes responsables de la gestion courante et qu'ils en assument la responsabilité.

Quelles sont les mesures concrètes que vous recommandez aux entreprises ?

Kleine-Beckel : Je recommande de désigner un responsable interne de la protection des données ayant une formation juridique, qui veillera au respect du cadre réglementaire. En outre, des employés individuels devraient être affectés à la suppression centrale des données, et non des services entiers. Il est néanmoins important de former tous les collaborateurs de l'entreprise, car c'est la seule façon d'assurer la sécurité du RGPD dans le travail quotidien. En outre, les données désencombrées sont la base pour que les entreprises puissent baser leurs analyses sur des informations actuelles et pertinentes. Cela est extrêmement utile pour les analyses et les processus décisionnels d'un nouveau genre.

E-3 : Merci pour cet entretien.