En quoi l’usage du télétravail ces derniers mois s’est-il révélé bénéfique pour la mise en conformité RGPD des entreprises ?
Michel-Emmanuel de Thuy, Partner chez 99 Advisory
L’arrivée brutale du confinement a nécessité la mise en place du télétravail de façon plus ou moins anarchique selon le niveau de maturité RGPD de l’entreprise. Nous avons constaté que nos clients les mieux préparés ont été ceux qui sont conformes au RGPD.
Un accord avait-il été négocié ? Les droits et devoirs du collaborateurs ont-ils été rappelés ? Le collaborateur disposait-il d’un matériel mis à sa disposition par l’entreprise ?
Si les équipes opérationnelles étaient à la manœuvre durant le confinement, le DPO et les équipes juridiques ou de conformité n’étaient pas en reste pour faire face à des problèmes inédits : autoriser des collaborateurs hautement sensibles à utiliser leur poste de travail à la maison – cf. les traders ou les gérants qui ont eu une dérogation exceptionnelle en mars 2020 - ; expliciter les règles et horaires de travail ainsi que le droit à la déconnexion ; gérer des échanges professionnels sur des applications de type Whatsapp ou Zoom.
Résoudre ces questions revient à chaque fois à se référer en premier au code du travail, mais aussi au RGPD et aux politiques internes de gestion de la donnée.
Un accord avait-il été négocié ? Les droits et devoirs du collaborateurs ont-ils été rappelés ? Le collaborateur disposait-il d’un matériel mis à sa disposition par l’entreprise ?
Si les équipes opérationnelles étaient à la manœuvre durant le confinement, le DPO et les équipes juridiques ou de conformité n’étaient pas en reste pour faire face à des problèmes inédits : autoriser des collaborateurs hautement sensibles à utiliser leur poste de travail à la maison – cf. les traders ou les gérants qui ont eu une dérogation exceptionnelle en mars 2020 - ; expliciter les règles et horaires de travail ainsi que le droit à la déconnexion ; gérer des échanges professionnels sur des applications de type Whatsapp ou Zoom.
Résoudre ces questions revient à chaque fois à se référer en premier au code du travail, mais aussi au RGPD et aux politiques internes de gestion de la donnée.
Comment les règles RGPD ont-elles permis aux entreprises d’être mieux armées face au télétravail accru et à ses potentielles dérives (IT et managériales) ?
Les règles RGPD servent de garde-fou dans ces réflexions autour du télétravail.
En effet, si Le télétravail offre un moyen efficace d’assurer une activité professionnelle malgré le confinement, il remet en cause de façon frontale la notion de management par supervision directe du collaborateur. Le manager ne peut plus utiliser les leviers classiques (« tu as 5 mn pour faire un point ? » ou suivre du coin de l’œil les allers et venues) et se trouve condamné à faire confiance au collaborateur.
Dans certains pays, en Inde, par exemple, certains employeurs avaient jugé bon d’obliger leurs collaborateurs à se filmer en permanence pour s’assurer que ceux-ci étaient bien au travail. Big Brother s’invite à la maison.
Heureusement, le droit français considère que le télétravail ne change pas la relation du collaborateur et de l’entreprise, mais seulement la façon d’effectuer le travail.
Le RGPD offre un cadre pour lancer une réflexion en interne sur les droits et devoirs du collaborateur et de l’entreprise : comment traiter les données personnelles ? comment garantir le droit à la déconnexion ? jusqu’où aller ?
En effet, si Le télétravail offre un moyen efficace d’assurer une activité professionnelle malgré le confinement, il remet en cause de façon frontale la notion de management par supervision directe du collaborateur. Le manager ne peut plus utiliser les leviers classiques (« tu as 5 mn pour faire un point ? » ou suivre du coin de l’œil les allers et venues) et se trouve condamné à faire confiance au collaborateur.
Dans certains pays, en Inde, par exemple, certains employeurs avaient jugé bon d’obliger leurs collaborateurs à se filmer en permanence pour s’assurer que ceux-ci étaient bien au travail. Big Brother s’invite à la maison.
Heureusement, le droit français considère que le télétravail ne change pas la relation du collaborateur et de l’entreprise, mais seulement la façon d’effectuer le travail.
Le RGPD offre un cadre pour lancer une réflexion en interne sur les droits et devoirs du collaborateur et de l’entreprise : comment traiter les données personnelles ? comment garantir le droit à la déconnexion ? jusqu’où aller ?
Qu’est-ce qu’être « RGPD compliant » pour une entreprise ? Sur quels critères pouvons-nous nous baser pour tirer ce constat ?
En ces temps de re-confinement, être « RGPD compliant » pour une entreprise repose sur 3 critères principaux :
1. Respecter la loi concernant le télétravail : existe-t-il un accord négocié avec les représentants du personnel ? à défaut, existe-t-il une charte ? si ce n’est pas le cas, il faut très vite en rédiger une ;
2. S’assurer que les politiques de gestion de la donnée sont écrites et diffusées : gestion des cookies, des consentements et des demandes de droits ;
3. Disposer d’un plan de mise en conformité RGPD, avec des procédures internes à pouvoir présenter au régulateur en cas de contrôle ;
1. Respecter la loi concernant le télétravail : existe-t-il un accord négocié avec les représentants du personnel ? à défaut, existe-t-il une charte ? si ce n’est pas le cas, il faut très vite en rédiger une ;
2. S’assurer que les politiques de gestion de la donnée sont écrites et diffusées : gestion des cookies, des consentements et des demandes de droits ;
3. Disposer d’un plan de mise en conformité RGPD, avec des procédures internes à pouvoir présenter au régulateur en cas de contrôle ;
Que dit la CNIL des outils de tracking ? Quels sont ses conseils et solutions pour gérer ses équipes à distance tout en respectant la réglementation sur la protection des données ?
La CNIL reconnait l’utilité des outils de tracking pour évaluer l’activité d’une entreprise, en particulier sur le web (nombres d’accès, pages lues ou ciblage des publicités).
En revanche, elle demande de recueillir le consentement de la personne sur le recueil de ces informations et reste très vigilante sur le respect du périmètre qui est autorisé. Facebook a été condamnée en 2019 par l’UE pour ne pas avoir respecté cette dernière demande.
Nos clients sont très demandeurs d’aide sur le télé-management afin de gérer leurs équipes à distance dans de bonnes conditions.
On va trouver les outils de visio-conférence pour permettre aux équipes de se réunir virtuellement (cf. MS Teams ou Google Meet), avec un outil collaboratif pour partager en même temps des contenus (Tableau blanc, Klaxoon) et stocker les informations dans un répertoire partagé virtuel (type Sharepoint ou OneDrive).
Mais cela ne suffit pas et nous avons mis au point des méthodes dérivées des méthodes agiles pour que les équipes continuent à fonctionner en travail à distance : stand up meeting, ateliers, point hebdomadaire, célébrations.
L’objectif est à la fois de garder le lien avec le collaborateur, de lui permettre de contribuer efficacement et de lui donner une autonomie à laquelle il n’était peut-être pas préparé.
En revanche, elle demande de recueillir le consentement de la personne sur le recueil de ces informations et reste très vigilante sur le respect du périmètre qui est autorisé. Facebook a été condamnée en 2019 par l’UE pour ne pas avoir respecté cette dernière demande.
Nos clients sont très demandeurs d’aide sur le télé-management afin de gérer leurs équipes à distance dans de bonnes conditions.
On va trouver les outils de visio-conférence pour permettre aux équipes de se réunir virtuellement (cf. MS Teams ou Google Meet), avec un outil collaboratif pour partager en même temps des contenus (Tableau blanc, Klaxoon) et stocker les informations dans un répertoire partagé virtuel (type Sharepoint ou OneDrive).
Mais cela ne suffit pas et nous avons mis au point des méthodes dérivées des méthodes agiles pour que les équipes continuent à fonctionner en travail à distance : stand up meeting, ateliers, point hebdomadaire, célébrations.
L’objectif est à la fois de garder le lien avec le collaborateur, de lui permettre de contribuer efficacement et de lui donner une autonomie à laquelle il n’était peut-être pas préparé.
Quel est le rôle et les missions du DPO face aux risques de cyber-attaques ? Le télétravail a-t-il joué en sa faveur ? Est-il davantage reconnu au sein des entreprises ?
La mission du DPO est de définir les politiques de gestion de la donnée et les procédures en cas de violation des données. A ce titre, il collabore avec les responsables sécurité de la DSI pour s’assurer que le patrimoine data de l’entreprise est suffisamment protégé.
Or, le confinement a plongé les entreprises et collaborateurs dans une situation inédite et les a exposées à des risques accrus de cyber-attaques en forçant tout le monde à se mettre au télétravail.
Le DPO va donc s’assurer que les collaborateurs sont suffisamment vigilants aux risques de cyber-attaques : éviter d’abord les négligences, mais aussi les sensibiliser avec des campagnes de faux phishing, des formations aux risques cyber, etc.).
En cas de cyber-attaque, c’est lui qui saura évaluer les dégâts causés en relation avec les directions métiers et la DSI.
On savait que l’année 2020 serait une année de la data, et d’ailleurs les grandes banques comme BNP ou Société Générale avaient mis au point leurs stratégies data. En revanche, personne n’avait vu que le DPO deviendrait à ce point essentiel.
Or, le confinement a plongé les entreprises et collaborateurs dans une situation inédite et les a exposées à des risques accrus de cyber-attaques en forçant tout le monde à se mettre au télétravail.
Le DPO va donc s’assurer que les collaborateurs sont suffisamment vigilants aux risques de cyber-attaques : éviter d’abord les négligences, mais aussi les sensibiliser avec des campagnes de faux phishing, des formations aux risques cyber, etc.).
En cas de cyber-attaque, c’est lui qui saura évaluer les dégâts causés en relation avec les directions métiers et la DSI.
On savait que l’année 2020 serait une année de la data, et d’ailleurs les grandes banques comme BNP ou Société Générale avaient mis au point leurs stratégies data. En revanche, personne n’avait vu que le DPO deviendrait à ce point essentiel.
Présentation de 99 Advisory
99 Advisory est un cabinet de conseil en transformation (stratégique, réglementaire, managériale, technologique…) fondé en 2009 pour les acteurs de la finance, de la banque et de l’assurance. Le cabinet appartient au groupe Finnegan, acteur indépendant spécialisé dans le conseil dédié historiquement aux secteurs banque et finance.
Le groupe Finnegan est également composé de 11 Management, spécialiste de l’optimisation et du management de projets métier en Systèmes d’Information, intégré en 2016, et d’Azzana Consulting intégré en mars 2019, dédié au cash management et moyens de paiement innovants.
Le groupe compte 350 collaborateurs et a réalisé en 2019 un chiffre d’affaire de 42 millions d’euros.
Le groupe Finnegan est également composé de 11 Management, spécialiste de l’optimisation et du management de projets métier en Systèmes d’Information, intégré en 2016, et d’Azzana Consulting intégré en mars 2019, dédié au cash management et moyens de paiement innovants.
Le groupe compte 350 collaborateurs et a réalisé en 2019 un chiffre d’affaire de 42 millions d’euros.