A l’heure du numérique, les informations personnelles des salariés sont  toutes informatisées et comprennent autant des données qui entrent dans des  processus de traitement administratif (l'âge, l’adresse ou le numéro de sécurité sociale) que d'autres qui peuvent toucher à la vie privée des utilisateurs  (historique de navigation internent, des appels téléphoniques, voire la géo  localisation ou la vidéo surveillance).

Si la loi Informatique et Libertés a pour but de protéger ces données, cela implique pour les entreprises un certain nombre de contraintes et de formalités à remplir, comme des demandes d'autorisation préalable (pour l'emploi de technologies jugées plus intrusives comme la biométrie par exemple) pour s'assurer d'une conformité totale.

Mais la sécurité des données et des traitements va au-delà d'une simple démarche de conformité légale.

Bernard Lombardo, Manager Business Consulting chez NorthgateArinso en France, précise que « les entreprises ne respectent que la partie émergée de l’iceberg de cette loi » pour plusieurs raisons : d’une part, elles en ignorent les enjeux étendus, d’autre part, certains dispositifs répondent déjà à des obligations de conformité au droit du travail et à des obligations de déclaration préfectorale (vidéo surveillance), et enfin, il existe actuellement peu de contrôles pour vérifier la conformité de ces dispositifs. Or la CNIL, garante du respect de la loi dans l’entreprise, incite les employeurs à enrichir le dialogue social par des démarches d'information des salariés, de concert avec les syndicats ou le Comité d'entreprise, pour établir notamment des chartes d'utilisation des TIC. Certaines prévoient des dispositifs tels que le blocage d’accès à certains sites Internet, la traçabilité des échanges téléphoniques ou encore le filtrage des courriers numériques.

Ces processus de conformité qui garantissent l’adéquation à cette législation, et visent à réduire les risques de contentieux impliquent, entre autres, de :

• Déclarer les fichiers et les traitements de données personnelles, s’assurer de leur sécurité et de leur confidentialité

• Informer les salariés des dispositifs de sécurité/surveillance mis en œuvre, de la traçabilité des activités

• Responsabiliser les collaborateurs, notamment dans les fonctions RH/SIRH et l’encadrement (évaluation), face aux enjeux de la protection des données personnelles dans l’exercice de leur métier

• Rationaliser le fonctionnement interne et les coûts liés aux traitements de l’information visée par la loi

Certes, les risques encourus en cas de non-respect de cette loi pour une entreprise sont « constitutifs de délits sanctionnés par les tribunaux correctionnels de peines d’amende (300 000 €) et d’emprisonnement (5 ans), dont les jugements sont publiables depuis 2004 » précise Me Baslé, avocat spécialiste en droit des nouvelles technologies. Mais les contrôles sont rares, rendant l’occurrence du risque légal faible, d’autant plus que sa criticité est également relativement faible. De fait, le véritable risque se mesure à la hauteur du préjudice porté à l'image et à la réputation de l'entreprise en cas de poursuite, plus que dans la stricte non-conformité au légal.

Répondre aux exigences de la loi Informatique et Libertés peut constituer désormais un gage de qualité pour l’entreprise, un pas supplémentaire vers la RSE, permettant ainsi de valoriser son image de marque auprès de ses clients, de ses collaborateurs, ses partenaires sociaux voire même ses fournisseurs.

En s’appuyant sur une analyse systémique détaillée de la couverture applicative et des processus métiers de l’entreprise, NorthgateArinso, leader sur le marché des logiciels et des services RH; se propose d’accompagner les entreprises dans la gestion et l’amélioration de leur processus de conformité et de les conseiller dans la sécurisation des traitements et des données :

• Déclaration des traitements et des fichiers

• Protection et devoir de confidentialité des collaborateurs Ressources Humaines, des administrateurs réseaux et autres personnels ayant potentiellement accès à ces données

• Sécurité des données, rationalisation des rôles et profils utilisateurs du Système d’Information

• Exercice du droit d’accès et de rectification de leurs données personnelles par les salariés, durées légales de conservation

• Accompagnement des relations sociales pour l’obtention d’un avis consultatif et motivé des Instances Représentatives du Personnel

• Sensibilisation des salariés et de l'encadrement à la nécessité de sécurité et de vigilance

• Rédaction d’une charte d’utilisation du Système d’Information et des Technologies de l’Information et de la Communication

• Désignation d’un correspondant informatique et liberté

Assurer la sécurité des données personnelles ou plus généralement la conformité à la loi Informatique et Libertés peut être une étape vers une démarche de RSE, et en outre faciliter le dialogue social sur certains aspects.