Vous ne pouvez pas demander à vos salariés de s’impliquer dans le RGPD sans les former.
Si vous souhaitez que votre démarche RGPD soit opérante, il faut que vos salariés comprennent leurs responsabilités et aient une vision claire de la politique de l’entreprise.
Si vos salariés n’ont jamais entendu parler du RGPD, ils ne seront pas capable de faire leur part du travail (remonter une information, identifier une situation délicate, savoir ce qui est autorisé ou non, etc.)
Former les bonnes personnes au bon moment
Il va falloir chercher un bon équilibre pour pousser le bon contenu selon chacun des métiers : certaines fonctions sont plus exposées que d’autres aux données personnelles.
L’objectif que vous devez vous fixer est de permettre à vos collaborateurs de maitriser les fondamentaux qui leur permettrons de réagir face à une situation liée au RGPD.
Vous aurez besoin que vos salariés soient en alerte sur des points précis : les traitements autorisés dans l’entreprise, les demandes d’exercices de droits de vos clients et l’identification des risques ou failles de sécurité. C’est la clé pour que vous puissiez avoir une remontée d’information fiable au niveau de la direction ou du référent (DPO) en charge du RGPD.
Une bonne formation rgpd doit permettre de comprendre les données personnelles, de savoir ce qui est autorisé (durée de conservation, finalités…) et de pointer ce qui est interdit.
Formation RGPD : pour qui ?
Comme vous n’avez ni le temps, ni les moyens de former la totalité de votre équipe au RGPD, je suis persuadé qu’il faut commencer par identifier les postes les plus concernés.
Cela ne sert à rien de bloquer en formation des salariés qui n’interviennent jamais sur des données personnelles.
Les postes prioritaires sont ceux qui manipulent des données personnelles : les ressources humaines, l’administration des ventes, l’informatique, les commerciaux, le marketing…
Tous les salariés qui travaillent sur informatique doivent être sensibilisés aux pratiques minimales pour reconnaitre un phishing, une tentative de fraude ou un virus.
Ne pas oublier les stagiaires, jobs d’été, etc…
Il faut parfois étendre la sensibilisation aux postes qui peuvent contribuer à une faille de sécurité. Par exemple un technicien de ménage mal formé ne sera pas vigilant si des documents sensibles non détruits se retrouvent dans une corbeille à papier. Ce n’est pas un point de détail, car on constate que ce sont souvent ses petites failles qui génèrent des conséquences fâcheuses.
Ce fichage «excessif», dixit la Cnil, a concerné plus de 500 000 personnes entre 2002 et 2017. Il était effectué par les téléopérateurs – souvent des salariés précaires, avec des contrats très courts – travaillant au standard d’Europe 1, chargés de recevoir les appels des auditeurs et de sélectionner les plus pertinents en vue d’un passage à l’antenne.
Libération, 2019
Proposition de plan de formation (rgpd pour qui et quand)
| Formation par métiers | Quand | Quoi (contenu) |
|---|---|---|
| Référent en charge du RGPD, DPO, CIL | Au lancement de la démarche RGPD dans l’entreprise | Comprendre le règlement et le processus global de mise en place du RGPD. Connaitre sa mission et quel mode de travail adopter pour impliquer l’ensemble des services dans la mise en place du RGPD. Connaitre les attentes de la CNIL, les règles de contrôles Appréhender les attentes des clients et des parties prenantes (clients, actionnaires, sous-traitants, partenaires) |
| Ressources Humaines | Au moment de l’implantation de la mise en conformité RGPD dans l’entreprise. Au préalable des autres services pour pouvoir les guider ou répondre à leurs interrogations. Régulièrement pour faire face aux évolutions des pratiques RH (nouveaux logiciels, modifications dans le droit du travail…) | Règles RGPD pour le recrutement, la paie, la formation Sensibilisation RGPD auprès des salariés Etre en alerte sur les sujets sensibles relatifs aux données personnelles : vidéosurveillance, surveillance des véhicules et géolocalisation, charte informatique, etc. |
| IT, DSI, Responsable Informatique | Au lancement de l’implantation de la mise en conformité Mise à jour régulière des connaissances pour faire face à l’évolution des menaces | Connaissance globale des impacts du RGPD au niveau des systèmes d’informations. Mise en avant des points cruciaux pour manager les données personnelles |
| Développeurs / CTO | Régulièrement | Comprendre comment implanter le RGPD dans le code avec les nouvelles pratiques : chiffrement, droits d’accès, durée de vie des données, accès et habilitations, localisation des données, technologies compatibles avec le rgpd Comment faire évoluer les technologies anciennes de l’entreprise pour les rendre compatibles (bases de données, ERP…). Les développeurs traduisent concrètement dans vos bases de données le RGPD. |
| Commerciaux, ADV | Régulièrement | C’est souvent la vitrine de l’entreprise en termes de relation client. Ils sont susceptibles d’être questionné par les clients. Les commerciaux doivent être au clair sur les méthodes autorisées de prospection, de fidélisation |
| Freelances réguliers, stagiaires | Régulièrement | Si vous collaborez souvent avec des tiers ils jouent un rôle dans la continuité de votre démarche rgpd. Ils doivent connaitre vos attentes et les règles en vigueurs. |
| Selon leur implication dans l’entreprise | Quand | Quoi |
|---|---|---|
| Nouveaux embauchés | Lors de l’intégration | Comprendre ce qui est autorisé et interdit. Comprendre les règles en place dans l’entreprise. |
| Stagiaires, jobs d’été | Lors de l’intégration | Ils doivent connaitre les bases. La formation peut être simplifiée mais ils ne doivent pas être oubliés car ils peuvent représenter une faille dans le système. |
| Salariés en place | Des points de sensibilisation de temps à autre | Il faut montrer que le système est en place et qu’ils doivent le garder en mémoire. Cela passe aussi par leur participation aux audits internes, à des flashs d’information sur des sujets d’actualités (phishing, gestion des mots de passe, exemple de piratages ou d’amendes rgpd d’entreprises du secteur, etc) |
FAQ Formation RGPD pour qui
Comment se former au RGPD ?
Nous l’avons vu préalablement, il faut adapter le niveau de maitrise du RGPD selon les rôles dans l’entreprise. Plus un poste est exposé aux données personnelles, plus il doit être aiguisé sur les données personnelles.
A quel moment ?
Idéalement la formation doit commencer au moment de l’implantation du rgpd dans l’entité. C’est la formation qui matérialise la démarche et qui montre que c’est un sujet crucial pour l’entreprise. Aussi je recommande de prévoir de points épisodiques pour que les salariés gardent en mémoire l’existence du sujet et de leurs responsabilités. Vous ne pouvez pas former tout le monde d’un seul coup : il faut prévoir un plan de formation pour cadencer les efforts.
Que doit contenir une formation RGPD ?
Une bonne formation RGPD est adaptée au niveau et applicable au quotidien pour la personne. Les fonctions liées aux Ressources Humaines doivent être sensibilisées sur la gestion des données des candidats et des salariés. Les postes informatiques et développeurs doivent comprendre comment monter d’un cran le niveau de respect des données personnelles dans les logiciels et applications. Les commerciaux seront eux orientés sur les règles de prospection, fidélisation mais aussi sur la procédure pour gérer les demandes des clients.
Pourquoi se former au RGPD ?
La formation au RGPD c’est la traduction concrète de l’ambition de l’entreprise sur ce sujet. Les collaborateurs doivent pouvoir comprendre les attentes et mettre en place dans leur métier les actions qui vont faire vivre la démarche.
Est-ce obligatoire de se former au RGPD ?
La compétence des personnes sur le sujet traduit la bonne mise en place dans l’entreprise. La formation est une preuve pour être conforme rgpd. Vous devez conserver vos preuves de formation dans votre dossier rgpd pour montrer que votre organisation est active sur le sujet.
