« Les données personnelles de nos intérimaires, candidats et collaborateurs permanents sont notre patrimoine », soutient Marie Eymond, correspondante Informatique et Libertés (CIL) et responsable de l’audit et du contrôle interne pour le groupe Randstad France. Et le fait que la direction générale, représentée par la DSI et la DRH, se soit saisie de la possibilité de désigner un correspondant Informatique et Libertés dès 2006(1), est « un signe de maturité de l’entreprise à l’égard de la protection de ces données », estime celle qui occupe cette fonction depuis maintenant plus de dix ans.

CV, numéros de Sécurité sociale, de comptes bancaires, etc. : par les systèmes d’information de Randstad transitent des millions de données personnelles, dont certaines sont par nature très sensibles. « Il faut les collecter, les traiter et les conserver en conformité avec la loi. Le CIL – demain le délégué à la protection des données (DPO) – en est le garant », explique Marie Eymond. Si le nouveau règlement européen braque, de fait, les projecteurs sur la problématique informatique et libertés, il ne va pas fondamentalement changer la mission de cette responsable. Cependant, « on monte d’un cran », estime-t-elle.

Les CIL s’intéressent en effet depuis longtemps à la finalité des traitements, la durée de conservation des données, la gestion des accès, aux clauses des contrats de sous-traitance, aux flux transfrontaliers, aux principes de transparence et de droit à l’information des personnes concernées, etc. Mais « le RGPD imposera, par exemple, une analyse d’impact pour chaque traitement de données sensibles(2), illustre-t-elle. Avec le principe d’“Accountability” (lire l’encadré p. 19), les responsables de traitements devront ainsi être en mesure de rendre compte de leurs traitements à chaque étape de ces derniers. Et alors qu’une logique de bonnes pratiques prévalait en termes de transparence sur les traitements et d’information sur les failles de sécurité, on passe dans un régime d’obligation(3) ».

En sa qualité de CIL, Marie Eymond rapporte à la fois à la présidence du groupe Randstad France et au data privacy and information security officer (responsable de la protection des données et de la sécurité de l’information) de Randstad Holding aux Pays-Bas. « La mise en conformité avec le RGPD implique beaucoup de travaux d’organisation – cartographie des traitements, priorisation des objectifs, etc. Cela suppose une gouvernance adaptée. » La CIL s’appuie sur des “relais informatique et libertés”, qui sont des responsables qualité ou métier. Enfin, un comité de pilotage composé de membres du Comex est chargé de valider les actions menées dans le cadre de ce chantier qui a démarré dès 2015, et se poursuivra jusqu’en 2018. « Une démarche qui nourrit également les approches des services Qualité, de la RSE et des commissaires aux comptes ».

Avec 3 600 collaborateurs permanents et un réseau de 700 points de présence dans l’Hexagone, l’un des enjeux de Randstad est de sensibiliser l’ensemble du personnel à une problématique d’autant plus cruciale qu’elle se combine à une mutation digitale sans précédent de l’entreprise (Randstad a notamment conçu, dès 2015, une application d’aide à la décision RH mixant big data et open data pour ajuster au mieux l’offre et la demande d’emploi, lire Entreprise & Carrières n° 1255). D’où le lancement, à un an de l’échéance, d’une « campagne d’ancrage de connaissance » d’un mois reposant sur l’envoi quotidien à chaque salarié de deux questions sur le sujet.

« Nous construisons également, avec la DRH, un dispositif e-learning sur la protection des données : qu’est-ce qu’une donnée personnelle ? Quels sont les principes de protection ? Pourquoi est-ce important chez Randstad ? Quelles données peut-on transmettre à nos clients ? Comment gérer les champs commentaires dans nos bases de données ? Que faire en cas de faille de sécurité… Cela rejoint l’une de nos valeurs clés qui est la confiance dans les relations que nous entretenons avec nos candidats, intérimaires et clients, et qui doit imprégner l’entreprise. »

La première brique de cet outil sur mesure sera destinée aux nouveaux entrants. « Nos applications sont paramétrées pour être conformes à la loi Informatique et libertés – avec, par exemple, des mots qui sont refusés dans nos bases de données –, mais une erreur humaine est toujours possible. D’où l’importance de former l’ensemble des collaborateurs. » Suivront des modules spécifiques pour les managers, les juristes, la sécurité informatique, le support, etc. « Chacun saura que tout nouveau traitement de données nécessite à présent une consultation du CIL. »

Activités

Intérim, recrutement et conseil RH.

Effectif

3 600 collaborateurs permanents (65 000 intérimaires délégués chaque semaine).

Chiffre d’affaires 2016

3,05 milliards d’euros.