ADP a su prendre les devants. Le fournisseur mondial de services RH – 58 400 salariés dans le monde dont 2 400 en France pour un chiffre d’affaires mondial de 12 milliards de dollars dont 328 millions d’euros en France – a commencé sa mise en conformité au RGPD dès… 2012 avec la mise en place d’une cartographie (data flow mapping). Objectif : savoir précisément où se trouvent les données, qui y a accès, où elles sont hébergées, etc. Cette initiative a permis de mettre en place des contrôles tout au long du cycle de vie des données, depuis leur collecte jusqu’à leur destruction, mais aussi de mieux se conformer au règlement européen adopté en 2016, explique Cécile Georges, Chief Privacy Officer d’ADP, basée à New-York : « C’était une étape importante car le RGPD exige la création d’un registre des activités de traitement aussi bien pour les opérateurs de traitements que pour les prestataires de services. C’était une exigence nouvelle et pour y répondre il faut disposer d’une cartographie des données. »

Entre l’adoption du RGPD et son entrée en vigueur le 25 mai 2018, ADP a procédé à une série d’évaluations afin de mesurer les écarts séparant ses systèmes des exigences posées par le RGPD. Ces opérations ont été menées par des équipes pluridisciplinaires qui ont réuni des opérationnels RH mais aussi des juristes et des spécialistes de la protection des données. « Il faut garder à l’esprit que la plupart des principes relatifs à la protection des données étaient déjà en vigueur avant le RGPD, de sorte que nous ne partions pas de zéro », rappelle Cécile Georges. Cette série d’évaluations a débouché sur des plans d’action pour combler les écarts.

Certains aspects ont exigé un travail plus approfondi, notamment la question des droits d’accès et l’obligation d’information. « Avec le RGPD, les entreprises et les personnes sont devenues plus sensibles à ces enjeux et ont redécouvert ces droits d’accès, de rectification ou de suppression des données, note Cécile Georges. Nous avons donc amélioré ces procédures pour aider nos clients à répondre à ce type de demande, y compris celles de destruction des données lorsqu’elles ne sont plus nécessaires. » L’un des enjeux clé a consisté à intégrer la cartographie des données et le suivi de leur cycle de vie dans les processus habituels des équipes.

En parallèle, le développement des produits et des services ADP a évolué pour intégrer les principes du RGPD, en particulier celui dit « privacy by design » qui minimise la collecte des données nécessaires pour mener à bien le traitement.

Les développeurs ont ainsi suivi une formation spécifique sur cette question afin de modifier leurs méthodes de travail. ADP ne peut toutefois pas tout faire, souligne Cécile Georges : « Nous ne sommes qu’un fournisseur de solutions technologiques. La façon dont nos clients les utilisent relève de leur responsabilité. Nous avons intégré le principe de proportionnalité dans nos produits de sorte qu’ils ne prévoient que la saisie des informations nécessaires à la finalité du traitement, la paie par exemple. »

Pour assurer un ancrage des principes et des obligations du RGPD dans le quotidien des équipes, ADP a aussi lancé une campagne de communication. Les salariés ont ainsi été invités à participer à une série de webinars. Des sessions de questions/réponses ont aussi été menées sur l’intranet qui ensuite nourrissent des FAQ. Enfin, une adresse mail a été créée afin de pouvoir recueillir les doutes et les questions restantes. « Le thème qui a suscité le plus de questions est celui du droit à l’oubli, se souvient Cécile Georges. Comment le mettre en œuvre alors que de nombreux traitements RH sont soumis à des obligations légales de conservation des données ? L’engagement global des équipes a permis une réelle appropriation du sujet. »

Des webinars ont aussi été organisés pour les clients d’ADP. « Alors que le RGPD arrive à sa première année d’application, ils veulent s’assurer que nous sommes en conformité en tant que fournisseurs de services et savoir ce qui est de leur ressort en tant que responsables de traitement », précise Cécile Georges. Globalement, la Chief Privacy Officer d’ADP estime que « le RGPD a eu le mérite d’augmenter le niveau d’attention sur la nécessité de protéger les données et d’attirer l’attention des entreprises sur la nécessité de fonder leurs traitements sur des bases légales ». Une évolution largement positive à mesure que cette problématique gagne en visibilité auprès du grand public et donc des salariés.