Exigences de formation RGPD – Votre guide pratique de la formation à la protection des données
Le RGPD a force de loi dans toute l’Europe depuis le 25 mai 2018. Il a représenté un changement radical dans la façon dont les entreprises doivent traiter les données. Pour toute réglementation complexe, la formation est l’un des meilleurs moyens d’atténuer le risque que les choses tournent mal, et d’aider le personnel à bien faire les choses. La formation en ligne est particulièrement efficace lorsqu’il s’agit de la formation GDPR, car la protection des données concerne les exigences pratiques et quotidiennes de maintien de la sécurité des données.
Un programme continu de formation GDPR efficace présente de nombreux avantages, notamment :
- Augmentation de la satisfaction au travail parmi les employés qui savent qu’ils suivent les meilleures pratiques à tous les niveaux
- Amélioration des processus et des procédures au sein de l’organisation
- Réduction des coûts de maintenance
- Amélioration de la confiance des consommateurs et de leur fiabilité
- Meilleure sécurité des données et réduction du risque de violation des données
- Potentiel d’amélioration de la réputation de l’entreprise comme étant à l’avant-garde de la protection des données
Exigences européennes en matière de formation GDPR
Le GDPR est peut-être lourd en réglementations, mais il est plutôt léger en exigences de formation. Seuls trois des 99 articles du GDPR mentionnent même la formation.
L’article 39 du GDPR précise les tâches du délégué à la protection des données. Toutes les organisations ne doivent pas nommer un DPD, mais pour celles qui le font, le DPD doit avoir au moins la responsabilité :
de contrôler le respect du présent règlement, des autres dispositions de l’Union ou des États membres en matière de protection des données et des politiques du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris l’attribution des responsabilités, la sensibilisation et la formation du personnel impliqué dans les opérations de traitement, ainsi que les audits correspondants ;
L’article 47 du GDPR élargit les tâches du délégué à la protection des données en référence aux règles d’entreprise contraignantes qui permettent les transferts de données entre un groupe de sociétés et d’États :
les tâches de tout délégué à la protection des données désigné conformément à l’article 37 ou de toute autre personne ou entité chargée du contrôle du respect des règles d’entreprise contraignantes au sein du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique commune, ainsi que du contrôle de la formation et du traitement des plaintes ;
La seule autre mention de la formation dans le GDPR est l’article 70 qui traite des tâches du Conseil européen de la protection des données, un organe de l’UE similaire à la Commission européenne et responsable de l’application et du maintien du GDPR. L’une des tâches du conseil est de:
promouvoir des programmes de formation communs et faciliter les échanges de personnel entre les autorités de contrôle et, le cas échéant, avec les autorités de contrôle de pays tiers ou avec des organisations internationales.
Cependant, cela fait référence aux programmes de formation entre les autorités de contrôle – les organes nationaux de chaque pays responsables de la législation sur la protection des données – au Royaume-Uni, il s’agit de l’ICO. Le GDPR ne spécifie que la formation des membres individuels du personnel d’une entreprise en relation avec les tâches d’un DPD.
Cela ne signifie pas pour autant qu’une entreprise peut éviter de former son personnel si elle décide de ne pas nommer un DPD. Cela signifie seulement que le GDPR est une explication de haut niveau de la législation européenne en matière de protection des données, et qu’en dehors des tâches spécifiées d’un délégué à la protection des données, il n’établit pas comment le règlement doit être appliqué au niveau de l’entreprise, car la prochaine étape en bas du GDPR est la façon dont chaque pays interprète le règlement.
Exigences de formation GDPR du Royaume-Uni
L’Information Commissioner’s Office est l’autorité de surveillance au Royaume-Uni. Cela signifie qu’il s’agit de l’organisme national de protection des données chargé, en vertu du droit européen et britannique, d’appliquer la législation sur la protection des données et de fixer des règlements et des normes.
L’ICO aborde la question de la formation à plusieurs endroits et rend essentiellement obligatoire la formation du personnel.
L’ICO exige qu’une organisation soit conforme au GDPR. En outre, toutes les organisations doivent s’assurer et être en mesure de démontrer qu’elles prennent les mesures nécessaires pour se conformer à la loi. L’un des moyens d’y parvenir est de mettre en œuvre une formation du personnel. Au minimum, cela signifierait une sorte de formation de sensibilisation du personnel pour s’assurer qu’ils sont conscients des règles.
Dans le guide de l’ICO sur le GDPR pour les organisations, il précise davantage quand la formation est nécessaire.
S’occuper des droits de protection des données, c’est-à-dire le droit d’accès, d’effacement, de restriction du traitement, de portabilité des données et aussi d’opposition au traitement est requis par la loi sur la protection des données. L’ICO déclare :
vous avez la responsabilité légale d’identifier qu’une personne vous a fait une demande et de la traiter en conséquence. Par conséquent, vous pourriez avoir besoin d’examiner quels membres de votre personnel qui interagissent régulièrement avec les individus pourraient avoir besoin d’une formation spécifique pour identifier une demande.
