Pendant longtemps, on a considéré les Ressources Humaines comme un centre de coût, au mieux un service support. Fort heureusement, les choses ont évolué et de plus en plus de Directeurs des ressources humaines se trouvent aujourd’hui autour de la table du Comex, au moins dans les grandes entreprises, marquant ainsi le fait qu’ils jouent un rôle beaucoup plus important dans l’entreprise que l’ancien « directeur du personnel ».

Et en ce qui concerne le numérique ? Là aussi les choses ont commencé à bouger, mais on peut aller encore plus loin et ne pas se contenter de ce qui est obligatoire et/ou imposé de l’extérieur…

          Le règlement général de la protection des données (RGPD) (1)…

Le RGPD, ou Règlement Général sur la Protection des Données, entré en application le 25 mai 2018, a pour vocation d’améliorer la protection des données personnelles en renforçant les droits des individus (droit d’accès, droit de rectification, droit à l’oubli) et en fixant de nouvelles obligations pour les entreprises.

Si beaucoup de départements au sein de l’entreprise sont amenés à traiter des données personnelles et si la mise en conformité avec le RGPD concerne l’entreprise dans son ensemble, le service RH, par son activité, est concerné systématiquement et ce, quel que soit le secteur. En effet, depuis le recrutement d’un salarié, jusqu’à son départ de l’entreprise, il traite des données personnelles : paie mensuelle, entretien d’évaluation du collaborateur, parcours de formation, gestion administrative etc. Pour se mettre en conformité, les RH ont dû mettre en place un certain nombre de mesures :

• mettre en place et tenir un registre des traitements RH
• s’assurer que les éventuels prestataires RH offrent toutes les garanties de conformité au RGPD
• nettoyer les archives papier et informatiques (et passer au digital !)
• informer et former les collaborateurs RH et les managers
• répondre aux sollicitations des salariés en matière de droit d’accès, rectification des données et droit à l’oubli

Loin de subir le RGPD, les RH avaient tout intérêt, pour celles qui ne l’avaient pas encore fait, à exploiter cette évolution comme un avantage concurrentiel en augmentant le niveau de confiance et le rôle horizontal qu’elles doivent jouer au sein de l’entreprise.

          … mais aussi la sécurité des systèmes d’information (2)

Pour autant, dans ce domaine, appliquer un texte contraignant n’est pas suffisant, et les RH peuvent aller encore plus loin (et certaines l’ont déjà fait). Compte tenu des données manipulées et en circulation, la sécurité de l’information est un enjeu capital pour les entreprises, leurs clients, leurs salariés et tout un chacun, et les RH peuvent y jouer un rôle important. Après tout, on a abouti aujourd’hui à une situation tout à fait positive en matière d’hygiène, de sécurité et de conditions de travail : pourquoi ne pourrait-on pas obtenir le même degré de sécurité en matière de sécurité de l’information ? Pourquoi pas une hygiène et sécurité de l’information ? Et pourquoi les RH sont-elles concernées, diront les plus dubitatifs ?

Les ressources humaines sont concernées à plusieurs titres :

• elles sont elles-mêmes clientes du système, compte tenu des données à caractère confidentielles qu’elles manipulent, qu’elles stockent, qu’elles traitent, voire qu’elles exportent ou importent
• la majorité des accidents en la matière – on parle même de 90% ! – sont d’origine humaine et non technique ; et la plupart des éléments de jurisprudence en la matière sont fondés sur une mauvaise utilisation des systèmes et des outils par des membres du personnel
• c’est un sujet totalement horizontal pour l’entreprise, et quelle structure est la plus horizontale si ce n’est les RH ?
• et les RH ont la capacité d’associer à cette réussite les différents acteurs :
  • le personnel RH mais aussi des autres secteurs
  • les dirigeants
  • les managers
  • les représentants du personnel, en mettant en place les formations nécessaires, en développant le dialogue social à chaque niveau pertinent en s’inspirant de leur pratique en matière d’HSCT et pourquoi pas en intégrant ces sujets dans les objectifs individuels ?

Il ne s’agit pas d’exclure les directions des systèmes d’information (DSI) ou équivalents, qui conservent leur rôle, mais de faire en sorte qu’ils participent à cette évolution avec une vision plus large et pas uniquement technique qui tienne compte des besoins de chacun. Et bien entendu, une telle évolution doit concerner toutes les entreprises et pas seulement les plus grandes ou les plus sensibles d’entre elles.

Nous aurons l’occasion d’évoquer cette question lors de notre colloque IE & RH, qui se déroulera le 19 septembre prochain, et d’aller même encore plus loin sur les sujets de cybersécurité. Pour plus d’informations cliquez ici.

Par René Picon-Dupré, Consultant en mission extraordinaire chez Adesidées.

(1) Le texte du RGPD a été adopté définitivement le 14 avril 2016 par le Parlement européen après de longues négociations, et promulgué au Journal Officiel le 27 avril 2016. Il remplace l’ancien texte de référence européen de 1995 en matière de protection des données personnelles. Cette ancienne directive avait servi en France de fondement à la loi Informatique et libertés.

(2) On parle aussi habituellement de cybersécurité, mais le sujet est plus vaste et des accidents en matière d’utilisation de la téléphonie peuvent aussi avoir des conséquences non négligeables.