Interview croisée entre Sandrine GUIDAT et Pascal THISSE concernant les conséquences du RGPD sur les structures d’accompagnement dans le domaine social

Interview croisée entre Sandrine GUIDAT et Pascal THISSE concernant les conséquences du RGPD sur les structures d’accompagnement dans le domaine social

Le RGPD dans le domaine social


Suite à l’applicabilité du RGPD depuis le 25 mai 2018, Alsace Service a souhaité se mettre en conformité sur les problématiques liées aux données personnelles. Vu ce cadre, Alsace Service a mis en place un programme de mise en conformité RGPD et nommé un Délégué à la Protection des Données externe (Data Privacy Professionals).

Alsace Service a souhaité effectuer un bilan 15 mois après le 25 mai 2018, et s’est notamment posée la question des conséquences du RGPD sur les structures d’accompagnement dans le domaine social.

Dans ce cadre, Pascal THISSE, expert dans le domaine de la protection des données personnelles depuis plus de 8 ans (consultant, formateur et DPO externe),  dirigeant de la société de conseils Data Privacy Professionals, a répondu aux questions de Sandrine GUIDAT, directrice d’Alsace Service.

Alsace Service

Quel est le bilan du RGPD, 15 mois après le 25 mai 2018, en ce qui concerne les PMEs ?

Expert Data Privacy Professionals

Le bilan est mitigé. Certaines PMEs ont clairement joué le jeu et mis en place un programme de mise en conformité au RGPD en formant leur personnel, en disposant d’un registre de traitements, en réalisant le(s) PIA(s), en prenant en compte les notions de protection des données dès la conception et par défaut, en nommant un DPO, etc.   

D’autres entreprises ont plutôt effectué des opérations de « toilettage« . Par exemple, en mettant à jour les mentions légales et en ajoutant une politique de confidentialité sur leur site web, mais sans mettre en œuvre les projets et programmes résultants au sein de leur entreprise.

La dernière catégorie sont les PMEs qui n’ont réalisé aucune action. Certaines semblent avoir fait l’impasse sur le RGPD, se sont mises en mode « réactif » et appliquent une politique en « attendant de voir ce qui va se passer« .

Alsace Service

Pourquoi certaines PMEs ont-elles effectué un effort « minimal » ?

Expert Data Privacy Professionals

Les entreprises des deux dernières catégories (politique de « toilettage« , politique « en attendant de voir« ) n’ont probablement pas saisi l’intérêt stratégique d’un programme de mise en conformité.  Ce programme permet entre autres de revoir les procédures de l’entreprise,  de devenir plus efficace et plus efficient, d’adapter dans certains cas la stratégie de l’entreprise.

Les programmes de mise en conformité au RGPD peuvent permettre d’éviter des sanctions de la CNIL ou la publication (publique) de la sanction/mise en demeure. Ces avantages sont financiers et réels, mais représentent le sommet de l’iceberg. Les principaux avantages, sur le long terme, concernent la remise à plat de procédures et d’usages liés aux métiers, la compréhension du « fonctionnement réel et dans le détail » de l’entreprise,  de la mise en place de relations et d’interactions « fortes » entre métiers (RH, informatique, marketing, responsables opérationnels, juriste, etc.) en lieu et place de silos. Ces avantages « long terme » garantissent la pérennité de l’entreprise.

Pour les entreprises dont le cœur de métier est le traitement de données personnelles, le programme de mise en conformité représente un avantage concurrentiel indéniable.  

Alsace Service

Quelle est la particularité des entreprises d’accompagnement dans le domaine social ?

Expert Data Privacy Professionals

La donnée personnelle se trouve au cœur du métier d’assistant de service social (ASS). Les activités de traitement de données personnelles (dont la collecte, le stockage, la transmission, la destruction) représentent une part importante du métier d’ASS. Un ASS ne  peut plus effectuer son métier sans se préoccuper des bonnes pratiques liées  aux activités de traitements des données personnelles. Dans certains cas, des données personnelles sensibles peuvent être collectées.

Les activités d’accompagnement (aide, information, soutien, etc.) sont prépondérantes pour l’ASS. La réalisation de cet accompagnement nécessite entre autres une compréhension et la maîtrise des bonnes pratiques liées aux activités de traitement des données personnelles de la personne accompagnée.

Alsace Service

Quels sont les challenges rencontrés par les entreprises d’accompagnement dans le domaine social ?

Expert Data Privacy Professionals

Un des principaux challenges dans le domaine social concerne le « numérique ». La transformation digitale/numérique  reste un sujet peu maîtrisé, qui n’est pas toujours au cœur des préoccupations de l’entreprise. Un programme RGPD va forcément avoir des impacts majeurs sur la transformation numérique de l’entreprise à travers l’évolution des usages (politique de mot de passe, BYOD, travail et connexion à distance, numérisation des documents, durées de rétention et destruction des données, etc.) et des procédures à mettre en place liées aux mesures de sécurité techniques et organisationnelles adéquates. 

Un second point peut concerner la culture informatique et numérique des ASS. Si l’habileté numérique nécessaire à l’exercice du métier d’ASS reste mesurée,  dans certains cas un manque d’adhésion pour passer au numérique peut exister. Par définition, l’ASS n’est pas un informaticien, si bien qu’une une sorte de « contre-culture » (se manifestant par une opposition de principe à l’informatique et au numérique) peut se mettre en place subrepticement.   

Un troisième challenge concerne la mise en place de mesures de sécurité techniques et organisationnelles adéquates par rapport à la typologie et au volume de données personnelles. Ces mesures peuvent nécessiter une évolution majeure du système d’information et de communication de l’entreprise et engendrer un coût financier.  La cyber-sécurité doit devenir une problématique centrale pour ce type d’entreprise, sachant que ce n’est pas son cœur de métier.    

Alsace Service

Quels conseils  donneriez-vous aux entreprises d’accompagnement dans le domaine social souhaitant mettre en œuvre un programme de mise en conformité RGPD ?

Expert Data Privacy Professionals

Mon premier conseil : pilotez le programme RGPD en parallèle du programme de transformation digitale/numérique. Les deux sont intimement liés et de nombreuses tâches sont interdépendantes. Il faut éviter de refaire deux fois le travail.

Mon deuxième conseil : les ASS sont des personnes de bonne volonté qui souhaitent aider et accompagner des personnes ayant des difficultés personnelles (familiales, financières) ou professionnelles. Faites en sorte que les ASS deviennent des alliés et qu’ils adhèrent aux changements d’usages induits par le RGPD.

Mon troisième conseil : un point de convergence entre RGPD et le métier d’ASS concerne la déontologie qui est très présente dans le cadre des problématiques liées aux données personnelles (RGPD), et dans l’exercice du métier d’assistant de service social (ASS). La méthodologie et le cheminement intellectuel peuvent être similaires dans les deux cas, tel le questionnement éthique concernant les notions de consentement et les conditions de sa validité. Cette convergence méthodologique entre les deux problématiques du fait de la déontologie permet de sensibiliser  les ASS et d’obtenir plus facilement leur adhésion au programme RGPD.  

Alsace Service

Comment voyez-vous l’évolution du métier d’ASS dans un monde post-RGPD ?

Expert Data Privacy Professionals

Le métier requerra  de plus en plus de qualités humaines, mais également une habileté numérique ainsi qu’une bonne compréhension des activités de traitement des données personnelles. Le cursus de formation des ASS devra dans le futur inclure des modules supplémentaires spécifiques au « numérique » et à la « data privacy » dont une sensibilisation à :

  • la cyber-sécurité et aux nouveaux usages induits par le numérique,
  • l’habileté numérique,
  • la législation sur les données personnelles (RGPD et futures législations).   

Alsace Service

Quelles sont les durées et modalités de mise en œuvre d’un programme de mise en conformité RGPD dans le domaine social ?

Expert Data Privacy Professionals

La réponse dépend de la taille et de l’organisation de l’entreprise (multi-sites). En général, il faut compter entre six mois et une année pour une PME pour mettre en œuvre le programme de mise en conformité, car les entreprises disposent rarement du temps et des ressources nécessaires pour mettre en œuvre les actions immédiatement.

Durant cette phase, l’accompagnement par un consultant spécialisé sur les aspects techniques (informatique, numérique), juridiques, opérationnels, connaissance du métier (ASS) est fortement recommandé.

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.