Formation à la protection des données: Quelle est la responsabilité des entreprises et des RH?

Avec la révision de la loi sur la protection des données, cette thématique n’a pas manqué de faire l'objet d'une attention accrue de la part des entreprises. Il s’agit en effet d’introduire dans ce domaine des mesures organisationnelles, comme le stipule l’art. 8 LPD: «Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données par rapport au risque encouru». L'une de ces mesures organisationnelles est la formation et la sensibilisation des collaborateurs. Et c'est là justement que les ressources humaines jouent un rôle de premier plan: s'assurer que les formations sont dispensées et que les collaborateurs comprennent de quoi il s'agit. Les différentes formations doivent être coordonnées: la protection et la sécurité des données, bien évidemment, mais aussi d'autres thématiques doivent faire l’objet de formations spécifiques.

Il convient ici de faire la distinction entre la protection et la sécurité des données: alors que cette dernière est en principe commune à toutes les entreprises - par exemple, la formation sur les e-mails de phishing est la même pour tous: attention à l'expéditeur, ne pas se laisser mettre sous pression, etc. -, la formation à la protection des données doit elle être spécifiquement adaptée à chaque entreprise. Les lois applicables en la matière varient en effet en fonction de l'entreprise et du secteur. La loi sur la protection des données est une lex generalis (= loi générale) à laquelle s'ajoutent les lex specialis, (= lois spéciales) qui sont spécifiques à certaines branches.

Il existe de nombreux fournisseurs de formations en ligne sur la protection et la sécurité des données. Si une entreprise veut se simplifier la vie au maximum, elle opte pour une telle formation et oblige les collaborateurs à la suivre la formation et à passer le test final. Si celui-ci est réussi, un certificat est établi et le sujet est réglé. On fera attention au pays d’origine de ses formations, ces dernières devant obligatoirement respecter la législation suisse et les lois cantonales en vigueur. Prendre la formation au sérieux, veiller à ce qu’elle soit adaptée aux besoins de l’entreprise, voilà les principes qui prévalent. Mais cela requiert des ressources et des connaissances. 

Pour que la formation ne devienne pas une corvée, il faut tenir compte des aspects didactiques et, surtout, elle doit être courte et, dans l'idéal, ludique.

Le modèle ORITE¹ permet d'obtenir un maximum d'effets avec un minimum d'efforts:

1. Orienter: Dans cette première phase, il est important d'éveiller l'intérêt des participants pour le thème et de leur faire comprendre de quoi il s'agit. Il faut éveiller la curiosité des participants.
2. Réactiver: Les connaissances antérieures ou les connaissances de la vie quotidienne sont importantes dans cette phase. Pour ce qui est de la protection des données et de la sécurité des données, chacun a en effet sa propre expérience.
3. Informer: Les nouvelles connaissances peuvent maintenant être transmises. La durée devrait être de 15 minutes au maximum. Et ces 15 minutes devraient si possible être axées sur l'entreprise elle-même.
4. Traiter: Un élément ludique - qu'il s'agisse d'un quiz ou autre - permet de vérifier les connaissances acquises. Cela peut finalement déboucher sur un certificat, quoique pas nécessairement.
5. Evaluer: la thématique doit être résumée une nouvelle fois à la fin. Le cas échéant, des questions de contrôle permettent de vérifier si ce qui a été appris a bien été compris.

La règle d'or est la suivante: l'information et son traitement doivent, ensemble, représenter environ 80% du temps.

Les images sont également importantes. Une grande partie de l'apprentissage fonctionne en effet avec des images, alors que le texte est souvent volontiers oublié.

Une formation attrayante pour les collaborateurs prend autant de temps qu'une formation ennuyeuse, mais le résultat ne sera pas le même.

La gamification (ludification) est ici le (nouveau) mot-clé. Certains éléments peuvent être intégrés dans la formation, mais ils doivent être adaptés à la formation. Trop d'éléments de ce type n'apportent aucun plus. Il faut un mix équilibré. Les éléments de gamification sont, entre autres, les suivants:

• Indicateur de progression: une barre permet de voir où l'on en est.
• Distribution de points: mécanisme de feedback sur le travail accompli - on reçoit un retour immédiat après la réalisation d'une tâche.
• Différents niveaux de formation: la formation peut être plus facile ou plus difficile en fonction des connaissances préalables des participants.
• Classement des participants: on voit aussi les progrès des autres personnes. Il faut veiller à ce que les classements ne soient pas démotivants.
• Collaboration: intégration d'aspects sociaux - les participants peuvent interagir ensemble.
• Quiz: il est particulièrement utile à la fin d'une formation pour vérifier l'état des connaissances.

Il ne fait aucun doute que ces formations demandent plus d'efforts lors de leur élaboration, mais les collaborateurs n’en seront que plus reconnaissants. Non seulement cette formation sera plus appréciée, mais elle sera également plus durable.

La formation à la protection des données est toujours une sensibilisation. La difficulté avec les thèmes juridiques est que tout est rarement «noir ou blanc». C'est pourquoi une formation à la protection des données représente un défi. Dès la phase d'information, mais aussi de traitement, il vaut la peine non seulement de miser sur l'e-learning, mais aussi d'encourager la discussion et de toujours donner la possibilité de discuter des «connaissances». Il s'agit de savoir où se situent les limites possibles lors du traitement des données personnelles.

Il est essentiel de savoir quelles sont les obligations d'un responsable du traitement des données:

• Les personnes concernées doivent être informées de toute collecte de données (art. 19 LPD) et de tout traitement automatisé de données (art. 21 LPD).
• Si l'entreprise compte plus de 250 employés, elle doit tenir un registre des activités de traitement (art. 12 LPD).
• En cas de violation de la sécurité des données, il faut envisager une obligation de notification (art. 24).
• Une demande d'accès doit en principe être satisfaite - il est judicieux que cela soit fait de manière coordonnée par une personne responsable au sein de l'entreprise.
• Pour les projets et les nouveaux traitements, il convient de procéder à une analyse d'impact sur la protection des données.

Il faut connaître en outre les principes de la protection des données et savoir comment les interpréter. Leur mise en œuvre n'est pas uniforme selon le secteur et l'entreprise; il faut comprendre l'idée de base de la problématique. Un test à choix multiples ne serait pas très judicieux ici; c’est en effet la déduction et la décision au cas par cas qui sont essentielles.

En résumé, il faut que la protection et la sécurité des données fassent l'objet de formations périodiques; une formation que l'on suit avec plaisir promet plus de succès. S'il s'agit uniquement d'avoir une preuve, cela peut certainement être plus simple et moins cher. A long terme, une bonne formation est plus utile.

Note de bas de page:

1) Développé par Erwin Uhland et René Müller à l’EPF Zurich.

Source:

Présentations: Blog de Sabrina Thoma – CYP