Pourquoi former vos collaborateurs ?
La sensibilisation et la formation de vos collaborateurs constitue une obligation du RGPD, fixée à l’article 39 [1] qui liste les missions du DPO. Parmi ces missions, on retrouve donc « la sensibilisation et la formation du personnel participant aux opérations de traitement ».
Au sein de votre structure, de nombreux collaborateurs participent aux opérations de traitement.
Il peut s’agir notamment :
- De votre équipe en charge des ressources humaines, qui traite des données des candidats aux postes ouverts dans votre structure et des données des collaborateurs
- De votre équipe marketing qui traite les données des utilisateurs de votre site internet via des cookies
- De votre équipe commerciale, qui traite les données de vos clients et prospects
- Les équipes IT qui traitent également des données des collaborateurs
L’ensemble des collaborateurs de votre structure doit donc être a minima sensibilisé aux enjeux du RGPD. Toutefois, il est vivement recommandé de prendre le temps de former les équipes pour lesquelles l’enjeu est le plus important : ressources humaines, équipe commerciale et marketing, équipe technique etc…
Dès lors, ces collaborateurs doivent être formés aux principes du RGPD : ses principes essentiels, ses intérêts, et ses enjeux.
La formation des collaborateurs s’inscrit dans une démarche d’accountability de votre part en tant que responsable de traitement. En effet, en cas de contrôle CNIL, vous devrez prouver avoir organisé des sessions de formation et / ou de sensibilisation de vos collaborateurs, ce qui témoignera de votre volonté de vous conformer au RGPD et du niveau de sensibilisation de vos équipes. C’est d’ailleurs pour cette raison qu’il est nécessaire de « tracer » vos sessions de formation.
La formation et la sensibilisation des collaborateurs de votre structure répond également à un impératif de sécurité des données. En effet, sensibiliser ses équipes aux enjeux en matière de sécurité informatique constitue un moyen de préserver votre structure d’éventuelles violations de données. Ainsi, inculquer aux collaborateurs les bonnes pratiques à mettre en œuvre au quotidien, constitue déjà une première étape vers la mise en place des mesures techniques et organisationnelles permettant d’assurer la sécurité des données, imposée à l’article 32 du RGPD.
En matière de sécurité des données, le facteur humain est très important. En effet, beaucoup de violations de données résultent de négligences de la part de collaborateurs : ouverture d’une pièce jointe malveillante, envoi d’un email comportant des données personnelles au mauvais destinataire, utilisation d’un mot de passe peu robuste ou non renouvellement du mot de passe etc…
[1] Article 39 du Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
Comment former vos collaborateurs ?
Sensibiliser et former vos collaborateurs peut sembler être une tâche difficile : par où commencer, quand organiser vos formations, est-ce pertinent d’organiser des sessions de formation par équipe etc… ?
Chez Data Legal Drive, nous avons mis en place plusieurs moyens de transmettre à nos collaborateurs non-initiés au RGPD les bases de ce règlement, et les bonnes pratiques en matière de sécurité des données.
- Un onboarding dédié à la sécurité : En matière de cybersécurité, chaque nouveau collaborateur chez Data Legal Drive assiste dès sa première semaine à un onboarding animé par notre Chief Technical Officer (CTO) qui précise les réflexes à adopter au quotidien, ainsi que les standards de sécurité à respecter.
- Le suivi de modules de e-learning : Interactifs, personnalisés, courts et ludiques, les modules de e-learning séduisent de plus en plus d’entreprises qui choisissent ces supports de communication pour sensibiliser leurs salariés. Chez Data Legal Drive, nous avons créé des modules d’e-learning destiné aux clients et utilisateurs de notre logiciel. Ce module regroupe à la fois les bases essentielles du RGPD, ainsi que des thématiques plus précises en fonction des différentes directions métiers de l’entreprise à l’instar du RGPD et du marketing, du RGPD et des ressources humaines ou encore du RGPD et des directions financières. Après avoir suivi l’intégralité du module, l’utilisateur répond à un quizz. Selon la qualité de ses réponses, un certificat de complétion lui est alors délivré. Ce module est, en outre, réalisé par l’ensemble de nos collaborateurs au moment de leur arrivée chez Data Legal Drive afin d’assurer leur sensibilisation et leur formation au RGPD.
- Des sessions de formation internes de deux heures : Nous réalisons régulièrement des sessions de formation de deux heures animées par notre DPO et / ou nos Consultants experts sur les grands principes du RGPD afin de nous assurer que les nouveaux arrivants soient formés et puissent les appliquer au quotidien.
Il peut également être pertinent pour votre structure d’établir un plan de formation en interne, par exemple en séparant vos sessions de formation en fonction des équipes auxquelles elles sont dispensées et d’axer les thèmes présentés sur des sujets précis.
Par exemple :
- Pour votre équipe en charge des Ressources Humaines, une formation sur le thème « Comment mener son opération de recrutement en respectant le RGPD ».
- Pour vos équipes Marketing et Commerciale, une formation à propos de « Comment mener une prospection commerciale respectueuse de la vie privée ».
En conclusion, bien que la sensibilisation et la formation des collaborateurs au sein de votre structure ne semble parfois pas être un sujet prioritaire, celle-ci présente pourtant un double avantage qu’il est important de garder à l’esprit :
- Elle témoigne, dans le cadre de l’accountability de votre démarche de mise en conformité, et de votre volonté d’impliquer l’ensemble de vos équipes, ce qui peut être valorisé en cas de contrôle de la CNIL.
- Elle permet un premier pas vers la mise en place des mesures de sécurité en se concentrant sur le facteur humain.
