Le Règlement Général sur la Protection des Données est entré en application en 2018. Huit ans plus tard, il reste largement méconnu des collaborateurs eux-mêmes. Or, la conformité réelle se joue moins dans le registre des traitements que dans les gestes quotidiens des équipes.

Ce que le RGPD demande, en pratique

Au-delà du jargon juridique, le RGPD impose à chaque organisation de :

  • savoir quelles données personnelles sont collectées et pourquoi,
  • n'en collecter que le strict nécessaire (minimisation),
  • les conserver un temps proportionné,
  • les sécuriser contre les accès non autorisés,
  • informer les personnes concernées,
  • respecter leurs droits (accès, rectification, effacement, opposition),
  • notifier les violations dans un délai de 72 heures.

Pourquoi le RGPD est aussi un sujet cyber

Une fuite de données ou un accès non autorisé constitue une violation au sens du RGPD. La sensibilisation cybersécurité contribue directement à la conformité :

  • moins de phishing → moins de fuites d'identifiants → moins de violations.
  • meilleurs mots de passe → moins de compromissions → moins de notifications CNIL.
  • meilleur signalement → meilleure tenue des délais réglementaires.

Inverser ce raisonnement est tout aussi vrai : un programme RGPD bien conçu est aussi un excellent support de sensibilisation cyber.

Les gestes quotidiens à diffuser

  • Pas d'envoi de fichier client par email à un destinataire non vérifié.
  • Pas de copie locale de bases personnelles sur clé USB ou cloud personnel.
  • Suppression des copies de travail dès qu'elles ne servent plus.
  • Limitation des destinataires (pas de "répondre à tous" automatique).
  • Vigilance sur les pièces jointes contenant des données personnelles.
  • Signalement immédiat de toute fuite ou suspicion.

La gestion des droits des personnes

Tout collaborateur peut un jour recevoir une demande émanant d'un client, d'un salarié, d'un usager : "puis-je accéder à mes données ?", "supprimez mes informations". Sensibiliser, c'est :

  • savoir reconnaître une demande de droit RGPD,
  • savoir vers qui la transmettre (DPO, juridique),
  • ne pas répondre seul sans consigne,
  • respecter les délais (un mois maximum).

Le rôle du DPO

Le Délégué à la Protection des Données n'est pas qu'un poste de conformité. C'est aussi un acteur clé de la sensibilisation. Articuler son action avec celle du RSSI démultiplie les effets :

  • un même canal de signalement (cyber + données),
  • des modules co-construits sur les sujets sensibles,
  • une narration commune autour de la "responsabilité numérique".

Une approche pédagogique : la donnée comme héros

Faire comprendre le RGPD sans le réduire à une corvée juridique suppose des formats engageants. Conscio Technologies a notamment développé une ressource immersive autour de L'odyssée de la donnée personnelle qui propose de suivre le parcours d'une donnée à travers un système d'information.

Les sanctions CNIL : un argument pédagogique

Les sanctions de la CNIL atteignent désormais régulièrement plusieurs millions d'euros. Et au-delà, les manquements répétés peuvent conduire à des mises en demeure publiques très défavorables en termes d'image.

Mais le levier le plus fort n'est pas la peur de la sanction : c'est la dimension humaine. Mes données, ma vie privée, celle de ma famille, celle de mes clients : la protection des données est un sujet profondément personnel, qui touche les collaborateurs si on sait le formuler ainsi.

Conclusion

Le RGPD ne vit pas dans des registres ou dans des modules e-learning de 45 minutes. Il vit dans les gestes du quotidien. Construire une culture RGPD, c'est intégrer la donnée dans le fil rouge de la sensibilisation cybersécurité — pas la traiter à part. Voir aussi notre article Culture digitale responsable.

Aller plus loin avec Conscio Technologies

Vous souhaitez mettre en place une démarche de sensibilisation impliquante dans votre organisation ? Découvrez l'approche de Conscio Technologies.

Lire L'odyssée de la donnée personnelle

#RGPD #données personnelles #CNIL