|
Pour José Rodriguez (Data Protection Officer Worlwide, Cornerstone), dans le champ des données RH de ses clients, tout éditeur de plateforme formation et talent doit s'assurer de la conformité de ses solutions aux réglementations, garantir une sécurité maximale tant matérielle que logicielle, s’engager directement, gérer finement les droits d’accès et anonymiser les données avant analyse prédictive. Un ensemble de règles qui s'appuie, chez Cornerstone, sur des investissements massifs.
 Quelles sont les particularités des données RH de l’entreprise ?
José Rodriguez : Les données RH ont cette particularité d’être à la frontière entre le monde de l’entreprise et la sphère privée. Elles incluent des données personnelles des employés, telles que leur adresse et leur situation de famille, ainsi que des données sur leur rémunération et leur carrière auxquelles, par nature, les personnes sont très sensibles. D’autres informations sont également hautement confidentielles, comme les plans de succession dans les plus grandes entreprises. Une entreprise cotée en bourse peut souhaiter ne pas les divulguer, puisque ses concurrents pourraient être tentés d’essayer de recruter ses meilleurs éléments.
En quoi consistent les discussions en cours entre l’Europe et les États-Unis ?
José Rodriguez : L’Europe n’autorise pas le transfert de données en dehors des états membres, sauf si certaines conditions de protection des données sont remplies. L’ancien accord « Safe Harbor » permettait un tel transfert, ce qui simplifiait l’hébergement des données européennes aux États-Unis. Cet accord a été invalidé mais dans le monde digital d’aujourd’hui, il est difficile de voir comment faire sans les États-Unis… Ceci explique l’importance des discussions autour du « Privacy Shield ». Les deux négociateurs se sont mis d’accord à ce stade (été 2016) mais de nombreuses voix se font entendre pour le critiquer, notamment parce qu’il y a une apparente contradiction entre la sévérité qui prévaut à l’intérieur de l’Union Européenne et le sentiment des tenants de la protection accrue des données que cet accord n’aille pas assez loin. Le débat reste ouvert, donc, mais en attendant, le WP29 (représentant les organismes nationaux de protection des données en Europe), considère néanmoins que le Privacy Shield est un pas en avant important par rapport au Safe Harbor. Il a donc décidé de permettre la mise en place des transferts sur la base du Privacy Shield et de revoir son efficacité chaque année comme prévu dans l’accord.
Quelle est l’implication dans le domaine du Cloud pour les RH ?
José Rodriguez : Il y a de très nombreux facteurs à prendre en compte. Cet aspect juridique de protection des données en est un, et il est évidemment crucial. Nous sommes en veille permanente de tout changement qui pourrait advenir car il est vital pour nous d’être toujours en conformité avec les législations européennes et locales. Il faut cependant ajouter d’autres aspects, à commencer par la sécurité physique et digitale des données, la gestion avancée des droits d’accès, la cryptographie, la possibilité du « Single Sign On », les processus complexes d’anonymisation des données, en particulier avant analyse de type big data, etc. Nos clients attendent de nous que nous soyons toujours au fait en matière de protection de leurs données. Pour être très pragmatique, nous investissons pour 26 millions d’utilisateurs alors que chaque entreprise aura quelques milliers de collaborateurs – ou centaines de milliers pour les plus grandes. Il est donc indispensable pour nous de répondre efficacement à ces questions.
Quelles conséquences pour Cornerstone ?
José Rodriguez : La réponse risque d’être longue ! En ce qui nous concerne, nous avons des obligations directes, en tant que « data processor », et des besoins spécifiques, en fonction des obligations et des besoins des clients en tant que « data controller ». Cela dépend aussi de l’historique, de la culture et de la structure organisationnelle de chaque client.
Tout d’abord, nous conservons les données de nos clients Européens en Europe. De plus, mon rôle de Data Protection Officer est un rôle mondial, et pas seulement français ou européen. Il est significatif d’ailleurs que ce rôle stratégique soit basé à Paris, et pas ailleurs en Europe ou aux États-Unis. C’est bien un indicateur de l’importance stratégique que Cornerstone lui accorde.
Sur les aspects techniques de l’hébergement, nous investissons de façon très importante dans notre propre infrastructure, disposant des certifications les plus exigeantes (à commencer par ISO 27001-2013). Le fait que nous ayons notre propre infrastructure est une garantie de confiance pour nos clients auprès desquels nous nous engageons directement sur un niveau élevé de garantie de service.
Pour répondre aux besoins spécifiques de nos clients notre logiciel, dans sa conception même, permet une gestion particulièrement fine des droits d’accès aux données. C’est un sujet primordial qui peut faire l’objet, comme c’est souvent le cas en Allemagne, de discussions légitimes avec les partenaires sociaux (par exemple pour des projets liés aux évaluations des collaborateurs). Enfin, nos serveurs analytiques sur lesquels tournent nos algorithmes Big Data sont eux-aussi dédiés aux données locales uniquement (dont l’origine et les droits d’accès sont sûrs), lesquelles passent d’abord par un processus avancé d’anonymisation.
Nous offrons aussi des services de conseil et d’analyse stratégique pour aider nos clients à définir et implémenter leur politique RH et, dorénavant, leur politique de protection des données en conformité avec les lois de protection des données en vigueur.
Pour conclure, tous les éditeurs se doivent de concilier l’ensemble de ces éléments qui sont tous aussi importants les uns que les autres : la conformité aux réglementations, la garantie d’une sécurité maximale tant matérielle que logicielle, l’engagement direct de l’éditeur (sans intermédiaire sur qui se défausser !), la gestion fine des droits d’accès et l’anonymisation des données avant analyse prédictive.
Propos recueillis par Michel Diaz
|
