Grande démission, des risques liés à la confidentialité des données

Le phénomène de la grande démission exerce un impact sans précédent sur la fonction RH, mais pas seulement. Ses répercussions sur la confidentialité des données sont bien réelles.

Cette chronique partenaire est proposée par Géraldine Pelloux, regional director Southern Europe d’Exterro.

Lorsque les salariés quittent leurs entreprises, ils emportent souvent avec eux des données névralgiques (listes de clients, fichiers salariés ou données confidentielles) qu’ils récupèrent en faisant appel à diverses méthodes d’exfiltration (clé USB, webmail, impression, voire chargement dans un espace de stockage cloud tel que Dropbox).

Or, l’exfiltration de ces données peut être considérée comme une violation. Les services des ressources humaines doivent dans ce cas diligenter une enquête. Autant essayer d’éviter ce scénario.

Diversité des données

Les taux de départs associés à la « grande démission » ont engendré une hausse des demandes des salariés à avoir accès aux données les concernant.

Une enquête réalisée auprès de 460 délégués à la protection des données basés au Royaume-Uni, composant le UK Data Protection Index, met en évidence une moyenne de 10,85 demandes de droit d’accès aux données par mois, culminant à 18,04 en décembre 2020, soit une hausse de 66 %.

Les demandes en provenance des collaborateurs prennent davantage de temps et sont, par conséquent, plus onéreuses à satisfaire.

D’après diverses estimations, les entreprises de plus de 5 000 salariés peuvent s’attendre à dépenser, chaque année 1,58 M£ pour répondre à ces demandes de droit d’accès.

Par conséquent, nombreuses sont les organisations à ne pas faire suite dans les 30 jours requis et cherchant à gagner du temps.

En réalité, 58 % des entreprises sont incapables de traiter ces demandes dans les délais impartis, si l’on en croit une étude réalisée par Talend.

Si l’accès à certains documents peut être refusé par l’entreprise lorsque celle-ci fait suite à une demande de droit d’accès aux données, l’équipe RH se doit néanmoins d’agir avec précaution.

Mieux vaut éviter l’utilisation de « dark patterns », autrement dit d’entourloupes visuelles et fonctionnelles pour tenter de manipuler l’utilisateur dans l’exercice de son droit d’accès aux données.

Á retenir : Influencer ou dissuader le salarié partant d’exercer son droit d’accès aux données, ou encore compliquer son dépôt de demande, peut être considéré comme un « dark pattern ».

Évolutions réglementaires

Pour que l’entreprise puisse manœuvrer sans crainte d’impunité, il est impératif qu’elle se recentre sur une stratégie RH de conformité aux impératifs de confidentialité.

La première étape consiste à cerner ses obligations juridiques. Au Royaume-Uni, l’approche sera sans doute plus souple avec la Data Reform Bill, appelée à se substituer au Règlement européen de protection des données personnelles.

Les critères applicables au délégué à la protection des données (DPO), aux analyses d’impact relatives à la protection des données (DPIA) ou aux registres des activités de traitement (ROPA)  sont susceptibles d’être abandonnés. Les refus seraient aussi plus facilement opposables.

Les salariés déposant une demande de droit d’accès à leurs données devront également s’efforcer de tenter de régler les différends avec le responsable du traitement des données avant de s’adresser à l’ICO (Information Commissioner’s Office).

Bon à savoir : Indépendamment des changements apportés aux dispositions réglementaires, l’ICO rappelle que la réponse à une demande de droit d’accès ne doit pas être prise à la légère. Récemment, sept entreprises ont été mises au pilori aux motifs d’absence de réponse et de retards chroniques dans le traitement de ces demandes.

Miser sur l’archivage pour réduire les risques

Le quadrillage de l’inventaire des données jette les bases d’un calendrier d’archivage valable.

Celui-ci précise le type de données à conserver et la durée, contribuant à réduire le volume de données susceptibles d’être exigées en cas de demande de droit d’accès ou de contentieux.

Si l’entreprise est autorisée à divulguer les finalités pour lesquelles les données du collaborateur sont utilisées, elle peut être en droit d’exclure ces données de la demande de droit d’accès ou d’en refuser purement et simplement l’accès.

Á la différence des données concernant les consommateurs qui sont, en général, exploitées ponctuellement et pour des usages limités, les données RH, de nature très diverse, servent un large éventail de finalités. Elles sont fréquemment partagées avec des tiers et il n’est pas rare qu’une cinquantaine ou une soixantaine de fonctions soient externalisées.

Par conséquent, une charte de confidentialité doit définir les modalités de gestion et de partage de ces données avec des tiers, et ces mentions doivent être stipulées dans les contrats en place avec les prestataires.

Enfin, cette charte doit proposer des possibilités de formation et faire en sorte de garder les canaux de communication ouverts à l’échelle de l’entreprise pour veiller à ce que l’inventaire soit correctement actualisé et la charte d’archivage respectée.

À lire aussi : Accès aux données personnelles, comment gérer la demande d’un salarié
Retour en haut

Vous n’avez pas le temps de suivre toutes les infos de la semaine ? Chaque jeudi, nous vous partageons notre newsletter, pour tout comprendre de l’actualité grâce au droit.