L’obligation de sensibilisation au RGPD
Le RGPD impose au responsable de traitement de s’assurer que les personnes agissant sous son autorite et ayant acces a des donnees personnelles ne les traitent que sur instruction de celui-ci. Cette obligation implique concretement de former et de sensibiliser l’ensemble des collaborateurs manipulant des donnees personnelles.
La CNIL considere la sensibilisation des salaries comme un element essentiel de la conformite. Lors de ses controles, elle verifie systematiquement l’existence de programmes de formation et de sensibilisation au RGPD. L’absence de toute action de sensibilisation est un facteur aggravant en cas de sanction.
Le programme de sensibilisation a mettre en place
La formation doit etre adaptee au niveau de responsabilite et a l’exposition aux donnees personnelles de chaque collaborateur. Un programme en trois niveaux est recommande : une sensibilisation generale pour tous les salaries, une formation approfondie pour les personnes manipulant regulierement des donnees personnelles, et une formation specialisee pour les referents informatique et liberte de chaque service.
La sensibilisation generale couvre les notions fondamentales : qu’est-ce qu’une donnee personnelle, quels sont les principes du RGPD, quels sont les droits des personnes concernees, quels sont les bons reflexes au quotidien. Elle peut prendre la forme d’un module e-learning d’une duree de 30 minutes a une heure, accessible a tous les salaries.
La formation approfondie aborde les specificites du metier : quels traitements de donnees sont mis en oeuvre dans le service, quelles sont les bases legales applicables, comment traiter une demande d’exercice des droits, comment reagir en cas d’incident de securite. Cette formation est dispensee en presentiel ou en classe virtuelle par le DPO ou un formateur specialise.
Les bonnes pratiques pour une sensibilisation efficace
La formation initiale lors de l’embauche est indispensable. Chaque nouveau collaborateur doit recevoir une sensibilisation au RGPD dans le cadre de son parcours d’integration. La charte informatique doit lui etre remise et expliquee. Les regles specifiques a son poste de travail doivent etre detaillees.
La sensibilisation continue est tout aussi importante. Des rappels reguliers sous forme de newsletters internes, d’affiches, de quiz ou de mises en situation permettent de maintenir le niveau de vigilance des collaborateurs. Les retours d’experience sur des incidents de securite (anonymises si necessaire) sont particulierement pedagogiques.
La simulation de phishing constitue un outil de sensibilisation particulierement efficace. L’envoi de faux emails de phishing aux collaborateurs, suivi d’une explication pour ceux qui se sont fait pieger, permet de mesurer le niveau de vigilance et de l’ameliorer progressivement.
Mesurer l’efficacite de la sensibilisation
Le DPO doit mettre en place des indicateurs pour mesurer l’efficacite du programme de sensibilisation : taux de completion des modules de formation, resultats aux quiz, nombre d’incidents signales par les collaborateurs, resultats des simulations de phishing. Ces indicateurs alimentent le bilan annuel de la conformite RGPD.
