La sensibilisation des équipes au RGPD, et de façon plus large à la protection des données, est un sujet qui paraît évident, pourtant, il reste encore peu intégré ou mal appréhendé au sein de certains organismes (tous secteurs confondus).  

Nous ne ferons pas ici une présentation détaillée du RGPD mais rappelons tout de même que ce règlement nous impose de respecter diverses obligations comme :  

• Conservation limitée des données
• Gestion des demandes de droits
• Encadrement les relations avec les tiers
• Minimisation de la collecte des données 
• Intégrer le DPO dans chaque nouveaux projets
• , etc.

Ainsi, pour améliorer votre conformité, vous revoyez vos process internes, rédigez des procédures ,ou encore renforcez les mesures de sécurité au sein de votre organisme.

Or tous ces chantiers sont vains sans la mise en place d’un plan de sensibilisation efficace du personnel. 

Pourquoi mettre l’accent sur la sensibilisation ?

Une image vaut mieux que mille mots. Voici donc deux exemples pour vous convaincre.  

Gestion des mots de passe :

Si pour améliorer la gestion des mots de passe, vous déployez un gestionnaire de mots de passe sans former vos équipes sur l’intérêt et la façon de l’utiliser, vous verrez sûrement apparaître des pratiques détournées : 

•  Noter dans un carnet un mot de passe. (Oui ça existe, ils sont parfois très beaux, mais votre DPO et RSSI préfèrent que vous vous absteniez) 
• Changer tous ses mots de passe d’un coup et oublier de les enregistrer. (C’est fâcheux, surtout si cela arrive à votre service RH avant validation des virements de salaires) 

Alerte tardive du DPO :

Autre grand classique que nos équipes de consultants ont pu observer ou expérimenter :  Le DPO est souvent mis trop tard dans la boucle de sujets impliquant le traitement de données à caractère personnel. Plusieurs raisons possibles à cela :

• Vos équipes ne savent pas que vous avez un DPO ⇾ ça aussi, c’est fâcheux 
• Vos équipes du service marketing n’ont pas eu conscience que leur nouveau projet de croisement de données entre le fichier clients et les informations trouvées sur les réseaux sociaux était une problématique RGPD. → Cet exemple est quelque peu exagéré, mais je vous assure que nous ne sommes pas loin de la vérité. 
• Votre DPO « fait peur » à vos équipes et ces derniers préfèrent le tenir à l’écart → Si c’est le cas, il y a sûrement méprise, il faut y remédier ! On ne laisse pas le DPO dans un coin.  

La sensibilisation des équipes est la clé pour chacun de ces scénarios et pour la plupart des projets de conformité qui manquent d’efficacité ! Vous l’avez peut-être déjà fait, notamment via des sessions de sensibilisation, mais pour autant ça n’a pas eu l’effet escompté ou alors la protection des données s’essouffle. Nous allons essayer de vous donner quelques pistes pour améliorer cela. 

Comment sensibiliser les équipes ?

Sensibiliser les équipes à la protection des données est ainsi essentiel pour assurer une bonne conformité RGPD et renforcer la sécurité au sein de l’entreprise. Cela passe par des actions pédagogiques régulières et l’intégration de bonnes pratiques dans le quotidien professionnel. 

• Établir un plan de sensibilisation annuel : la sensibilisation doit être cyclique. On ne peut se contenter de sensibiliser les équipes une seule fois à leur embauche ;  
• Intégrer la sensibilisation RGPD et, de manière générale, la sécurité des données dans le parcours d’embauche : plusieurs options s’offrent à vous. Si vous êtes de taille conséquente, vous pouvez vous permettre d’organiser des sessions de groupe après les périodes de recrutement. Vous pouvez aussi intégrer un e-learning RGPD dans votre parcours d’embauche ; 
• Préparer des sensibilisations ciblées : le service RH ne doit pas être sensibilisé de la même manière que votre service qualité. Adaptez les exemples pour impliquer vos équipes. De même, certaines thématiques importantes nécessitent un support de sensibilisation dédié.  C’est le cas pour la gestion des violations de données. La mise en place de procédure est utile, mais prévoir une communication ciblée l’est encore plus. On ne va pas se mentir, les procédures ne sont pas lues par tous !  
• Varier les supports : mettez en place des e-learnings, organiser des « cafés débats », des « Escape Games » ou des quiz avec surprises pour le vainqueur ; 
• Choisir le bon moment : le jour de la rentrée ou les périodes de vacances ne sont pas toujours adaptés pour faire partir la newsletter RGPD. A contrario, faire passer une note ciblée sur le phishing avant le début de la clôture de l’année fiscale peut être efficace.
• Faite équipe avec le RSSI : la sécurité fait partie intégrante des obligations du RGPD alors autant faire appel à votre responsable de la sécurité afin que vous puissiez accorder vos violons et mobiliser vos équipes une fois plutôt que deux.

Besoin d’aide pour sensibiliser vos équipes ?

Cette liste est non exhaustive, chez SRC nos équipes de consultants ont plein d’idées pour vous accompagner dans la sensibilisation de votre entité ! 

Contact@src-solution.com 

 

RESSOURCES : Pour en savoir plus sur le rôle du DPO : Le délégué à la protection des données (DPO) | CNIL 

Autre article qui pourrait vous intéresser : ️Sécurité et RGPD – SRC Solution (src-solution.com)