Le Renforcement De La Réglementation Sur La Protection Des Données Et La Cybersécurité : Qu’est-ce Que Cela Signifie Pour Les RH ?

Le régime réglementaire en matière de protection des données et de cybersécurité évolue rapidement. La barre est relevée et il est difficile de suivre les nouvelles réglementations, tant locales qu’internationales.

Dans cet article, nous examinons l’effet que cela a sur la façon dont les organisations gèrent les données de leurs employés, où se situent les risques les plus courants, et quelques suggestions PRATIQUES sur la manière dont les organisations peuvent améliorer leur posture globale de protection des données.

À QUELLE VITESSE L’ENVIRONNEMENT RÉGLEMENTAIRE ÉVOLUE-T-IL?

Très rapides, et les changements n’évoluent que dans une seule direction, à savoir des exigences plus strictes, des mécanismes d’application améliorés et des sanctions financières et pénales plus sévères.

Voici juste quelques exemples :

• La directive NIS2 de l’Union européenne (Network Information Security 2), dont la date limite d’adoption nationale est le 17 octobre 2023 pour tous les états membres de l’UE, a un impact sur des secteurs critiques comme l’énergie, les transports et la santé. Il impose des mesures de cybersécurité plus strictes pour ces secteurs, une amélioration du reporting des incidents et une plus grande collaboration transfrontalière pour renforcer la résilience de l’infrastructure numérique européenne contre les cybermenaces.

• La nouvelle loi fédérale sur la protection des données (nFADP), entrée en vigueur le 1er septembre 2023, renforce les obligations des employeurs en exigeant un traitement des données, un consentement et une transparence plus stricts pour protéger la vie privée des employés.

• L’amendement sud-coréen à la loi sur la protection des informations personnelles (PIPA) étend les obligations de protection des données pour les employeurs, exigeant un consentement et des mesures de sécurité plus stricts. Il renforce les droits des individus à la vie privée et impose des sanctions plus sévères en cas de non-respect, incitant les employeurs à améliorer leurs pratiques de traitement des données afin de protéger les informations des employés.

• Les modifications apportées à la California Privacy Rights Act (CPRA), entrées en vigueur le 1er janvier 2023, ont introduit des exigences renforcées en matière de protection des données pour les employeurs. Il accorde aux salariés plus de contrôle sur leurs données personnelles, exige de la transparence dans le traitement des données et impose des réglementations plus strictes aux entreprises.

QU’EST-CE QUE CELA SIGNIFIE POUR LES RH ?

Les RH traitent certaines des données les plus sensibles au sein d’une organisation, notamment les données personnelles des salariés, les données familiales, les données de santé (par exemple les certificats médicaux), les données de rémunération, les coordonnées bancaires, les données fiscales, etc. Historiquement, les équipes RH s’appuient sur leurs services informatiques pour conserver ces données en sécurité dans l’environnement informatique de l’organisation. Les RH doivent alors simplement suivre des pratiques de travail quotidiennes de bon sens pour éviter que les données personnelles ne soient vues par la mauvaise personne, par ex. enregistrer les documents sensibles sur un disque sécurisé, ne laisser pas de documents traîner au bureau et faire très attention à saisir la bonne adresse e-mail lors de l’envoi d’un document par email.

Dans le monde d’aujourd’hui, cette approche est loin d’être adéquate. Les équipes RH doivent aller beaucoup plus loin pour garantir que les données des collaborateurs sont sécurisées et pouvoir démontrer que tel est le cas.

QUELS SONT LES RISQUES LES PLUS COURANTS ?

Il existe cinq principaux domaines de risqué :

1. Stockage des données des employés
2. Accès aux données des employés
3. Gestion de la chaîne d’approvisionnement (des activités externalisées)
4. Transmission des données
5. Candidats

Examinons brièvement chaque risque et à quoi ressemble une approche robuste.

Stockage des données des employés

Les données des employés doivent être stockées dans des systèmes qui respectent les meilleures pratiques de sécurité du secteur et sont donc plus résilients aux violations et aux fuites de données. Par exemple, les logiciels qui stockent les données des employés doivent être conçus pour être sécurisés (par exemple, ils doivent répondre aux normes architecturales de l’OWASP), le matériel qui prend en charge les systèmes doit être sécurisé et des tests d’intrusion indépendants doivent être effectués régulièrement. Les systèmes stockant les données des employés doivent être fiables, durables, régulièrement sauvegardés et disposer de procédures de repli en cas de sinistre.

Accès aux données des employés

L’accès aux données des employés doit être limité aux personnes qui ont besoin de ces données pour effectuer leur travail ou le service fourni. Cela signifie qu’il doit y avoir un accès basé sur les rôles aux données des employés et que la configuration des systèmes doit garantir que l’accès ne peut pas être compromis. Une authentification à deux ou plusieurs facteurs doit être utilisée pour accéder aux systèmes qui stockent les données des employés. 

Gestion de la chaîne d’approvisionnement

La plupart des organisations externalisent certains aspects de la gestion de leur personnel, par exemple la paie, les permis de travail, les contrôles préalables à l’emploi et l’administration des avantages sociaux. Les organisations doivent sélectionner des fournisseurs dotés de solides pratiques de protection des données et de sécurité informatique, ainsi que de pratiques efficaces de gestion des personnes (y compris la formation de leurs propres employés). Il est également important de garantir que les processus de bout en bout sont sécurisés, par exemple qui a accès aux données personnelles et comment elles sont transférées pour traitement.

Transmission des données

Les données des employés doivent être partagées – tant en interne qu’en externe – à l’aide de plateformes sécurisées. L’envoi de données personnelles par email et dans des fichiers Excel est très risqué. Il est facile de saisir une mauvaise adresse email. Les emails peuvent être facilement transmis à une personne qui ne devrait pas voir les données. Les fichiers protégés par mot de passe sont très faciles à déchiffrer. Ces fichiers finissent souvent par être enregistrés sur le disque personnel d’une personne sur son ordinateur portable. Les informations sont alors souvent moins sécurisées et très difficiles à contrôler (par exemple supprimer définitivement ou anonymiser).

Candidats

Les candidats à un emploi doivent consentir au traitement et au stockage de leurs données. Dans de nombreux pays, les candidats ont également le droit légal de demander à l’organisation qui détient leur candidature de supprimer et d’anonymiser toutes les données personnelles stockées sur eux ou toute combinaison de données qui les rendraient identifiables. Ils peuvent également avoir le droit de demander à l’organisation d’apporter des modifications à leurs données personnelles dans une ancienne candidature. En tant que tels, les systèmes de recrutement doivent être capables de gérer ces exigences.

COMMENT POUVONS-NOUS ÉVALUER SI NOTRE ORGANISATION CONFORME AUX RÉGLEMENTATIONS SUR LA PROTECTION DES DONNÉES ET LA CYBERSÉCURITÉ ?

Même si les exigences varient selon les juridictions, il existe de nombreux points communs dans la plupart des marchés développés et un grand alignement international des règles a eu lieu au cours des 5 à 10 dernières années.

Si vous ne parvenez pas à répondre « oui » à ces 4 questions, il est peu probable que vous soyez pleinement conforme aux exigences en matière de protection des données et de cybersécurité dans de nombreux pays :

1. Les données des employés sont-elles stockées exclusivement dans un système RH cyber-sécurisé ou dans des systèmes sauvegardés au moins une fois par semaine, accessibles via un mécanisme de double authentification, disposant d’un accès basé sur les rôles et soumis à des tests d’intrusion au moins une fois par an ?
2. Tous les échanges de données personnelles avec des prestataires tiers sont-ils gérés via une plateforme sécurisée plutôt que par email ?
3. Votre paie est-elle gérée sans aucun échange de données personnelles des salariés ou de données de rémunération (en interne ou en externe) par email ou Excel ?
4. Pouvez-vous supprimer définitivement, anonymiser et modifier les données personnelles des candidats à un emploi?

UNE OPPORTUNITÉ POUR LES DÉPARTEMENTS RH

PeopleWeek s’entretient souvent avec des directeurs des ressources humaines qui ont continuellement du mal à disposer du budget nécessaire pour mettre en œuvre les systèmes dont ils ont besoin pour gérer et développer leurs collaborateurs, ainsi qu’aider leurs équipes RH à travailler plus efficacement. Alors que la plupart des PDG affirment que « les personnes sont leur plus grand atout », cela ne va pas trop souvent jusqu’à investir de l’argent dans des systèmes pour les employés et les managers. Cependant, vous pouvez être sûr que lorsque le directeur des ressources humaines souligne que leurs processus actuels – et les systèmes qui les sous-tendent – ne sont pas conformes aux exigences en matière de protection des données, le PDG et le directeur financier ont un sentiment d’urgence différent. C’est dommage quand il faut jouer cette carte mais c’est tout à fait légitime quand, effectivement, l’organisation ne respecte pas les exigences légales.

PeopleWeek est prêt à vous parler si vous avez des questions sur ce sujet. Vous souhaiterez peut-être également répondre à notre enquête sur la maturité des systèmes RH ici.