J'ai récemment eu une conversation avec quelqu'un qui m'a expliqué avoir dû poliment expliquer à un employé que oui, il pouvait supprimer ses coordonnées bancaires de leur système RH. Cela serait conforme aux nouvelles exigences du Règlement général sur la protection des données (RGPD), selon lesquelles les personnes peuvent consulter toutes les données d'identification personnelle qu'une entreprise détient sur elles, puis demander que tout ou partie de ces données soient supprimées dans un délai de 30 jours. La personne a ensuite expliqué à l'employé que si ses coordonnées bancaires étaient supprimées, l'entreprise n'aurait aucun moyen de lui verser son salaire en fin de mois.
De même, en quittant un poste, un employé peut demander à son ancien employeur d'effacer toutes ses informations personnelles. Cela empêche cependant manifestement l'ex-employeur de lui fournir une référence ultérieurement.
Sans nier l'importance de contrôler la façon dont nos informations personnelles sont collectées, stockées et traitées, je me demande si nous n'avons pas été trop loin avec le RGPD. Comment fonctionnerait en pratique le droit à l'effacement d'un ancien employé ? Les dossiers du personnel seraient assez faciles à trouver et à supprimer, surtout s'ils sont numériques. L'entreprise devrait déterminer si des copies papier ont été faites, et où elles se trouvent. Les archives formelles sont une chose, mais les copies aléatoires au fond du classeur du directeur financier ou sur des clés USB en sont une autre.
Considérons maintenant le budget de l'année dernière, ou de l'année précédente, dans lequel Pierre figurait et était identifié dans le budget salarial détaillé. L'effacement signifierait que le budget ne s'équilibre plus, de sorte qu'on « anonymiserait » Pierre, en conservant ses valeurs mais en masquant son nom. Réfléchissez-y une minute dans le contexte des taux de rotation du personnel… Revenir un ou deux ans en arrière pour comprendre comment le budget a été constitué pourrait aboutir à une liste de « N. N. », privant l'examinateur de la capacité d'analyser ou de comprendre le contexte et la composition du budget.
Autre réflexion : que se passe-t-il lors d'un audit, externe ou fiscal (pouvant potentiellement remonter à sept ans), lorsqu'on ne peut pas fournir les justificatifs nécessaires pour étayer des écritures comptables parce que les données personnelles de la personne ont été supprimées conformément au RGPD ? L'administration fiscale acceptera-t-elle cela en réponse à une demande d'audit ? J'en doute.
Par ailleurs, dans un monde numérique, notre empreinte de données personnelles se répand loin et vite. Certes, d'un côté, il est sans doute plus facile de les chercher que des informations sur papier, mais de l'autre : quelle toile enchevêtrée que nos vies numériques. L'adresse e-mail de cet ancien employé dans une chaîne d'e-mails impliquant d'autres personnes ? La newsletter de l'entreprise avec une photo légendée d'un événement de team-building incluant l'employé ? Un article LinkedIn rédigé par cet employé au nom de l'entreprise, avec un débat animé dans les commentaires ? D'autres données, communications et contenus doivent-ils simplement être détruits pour se conformer au RGPD ? « Désolé Jean, je sais que c'était une conversation précieuse avec un client et qu'il serait bon d'en garder une trace, mais il faut la supprimer parce qu'elle mentionne Pierre. Et, au fait, veuillez supprimer toutes les copies que vous pourriez encore avoir de la newsletter d'il y a quatre ans et la remplacer par cette version caviardée. Oui, je sais qu'on a gâché la photo en floutant le visage de Pierre, mais c'est ainsi… »
En quoi est-ce praticable ? Et est-ce même nécessaire : à moins d'être Jason Bourne, est-ce vraiment grave d'apparaître en photo avec l'équipe gagnante du quiz d'entreprise de 2014 ? Pourtant, des entreprises de toutes tailles pourraient potentiellement s'enliser dans des tâches administratives, à traquer les mentions les plus éphémères dans le délai de conformité de 30 jours. À long terme, les entreprises pourraient réexaminer leurs communications d'entreprise, ou les systèmes qu'elles utilisent — en privilégiant un système unique pour tout gérer et faciliter la recherche de données, plutôt que les meilleures solutions de chaque catégorie qui permettent à leurs collaborateurs de travailler au mieux. Ou les entreprises commenceront-elles à demander aux employés de renoncer à leur droit à l'effacement pour se couvrir pour la fois où Pierre est mentionné dans la newsletter de l'entreprise ? Et cela serait-il même légal ?
On doit se demander à quel moment les données personnelles deviennent des données d'entreprise ? L'histoire ne peut pas être changée, Pierre faisait partie de l'entreprise, le salaire de Pierre faisait partie du budget l'année dernière. Le blog et la newsletter de l'entreprise représentent l'histoire de l'entreprise. Le budget, le blog et la newsletter sont la propriété de l'entreprise et reflètent, à des titres divers, l'histoire de cette entreprise. Le RGPD s'étend-il au fait de modifier ou de réécrire cette histoire ?
Certains de ces exemples peuvent sembler un peu facétieux, mais si l'on applique la lettre de la loi dans son interprétation la plus draconienne… Nous n'en sommes qu'aux balbutiements : le RGPD n'est en vigueur que depuis un mois et certains de ces détails seront sans doute réglés au fil du temps. Mais avec les États-Unis, l'Australie et l'Inde qui indiquent déjà qu'ils suivront l'exemple de l'Union européenne, il ne fait aucun doute que cela pourrait rapidement devenir la norme mondiale. Et le nombre de notifications RGPD que je vois aujourd'hui de la part d'entreprises sud-africaines témoigne de l'absence de frontières du monde numérique. J'espère que nous n'avons pas simplement entravé notre capacité à opérer dans un monde de plus en plus numérique et piloté par les données, en le noyant dans la bureaucratie.
Tel que publié dans AccountingWeb le 26 juin 2018