Atelier & groupe de travail autour de la question du RSE (Réseau Social d’Entreprise) et de la CNIL (Commission Nationale de l’Informatique et des Libertés)

Alain Garnier a eu le privilège d’assister à une réunion organisée par l’AFCDP (Association Française des Correspondants à la protection des Données  à caractère Personnel).

Animée par Bruno Rasles, le délégué général de l’AFCDP, il s’agissait de la première réunion de cet atelier autour de la mise en conformité avec la loi Informatique et Libertés d’un Réseaux Social d’Entreprise.

Au départ, le besoin est venu de la question RH :

Quelles informations peuvent être  gardées lors d’un recrutement ?

Ce fut bien la question de la conformité légale informatique et libertés qui furent traitées à l’initiative de l’AFCDP et non pas, les questions tout aussi importantes du droit à l’image, de l’intelligence économique ou encore de la fuite d’informations…

Il se trouve que pour ses propres besoins, l’AFCDP met en place un RSE. Elle est donc confrontée au premier chef à cette question de conformité.  Ce réseau, outillés par Jamespot.pro, s’appelle FACIL pour Forum Associatif des CIL… les « CIL », Correspondants Informatique et Liberté.

Alain Garnier vous livre ici le tour de table (riche) et les questions posées autour de ce thème.

ATTENTION :

LES PHRASES CI-DESSOUS SONT DES VERBATIMS PRIS SUR LE VIF QUI PEUVENT PARAITRE DECOUSUS MAIS QUI DONNENT UN ETAT DES LIEUX.

Le  tour de table & les questions autour de la conformité informatique et liberté et RSE à ce jour :

  • C’est quoi au juste un RSE ? Quelle est sa définition ? Un forum est il un RSE ?
  • Un cabinet d’avocat donne son témoignage : ce sont les personnes du marketing & de la communication interne qui se préoccupent de la question de la CNIL et pas les RH.
  • Le cas du e-Learning (avec Moodle) : que ce soit pour les élèves ou les enseignants, leurs préoccupations rejoignent celles du RSE, d’autant plus que les universités viennent au RSE.
  • Un retour d’expérience sur la mise en place d’un RSE  au sein de l’université: il semblerait que la question des données personnelles, n’intéresse encore que très peu les responsables.
  • Un exemple autour de blogs qui donnent lieu à la signature électronique d’un Term Of View.
  • Exemple de la problématique des professions « réglementées » comme les juges, les avocats etc… Comment transmettre des données dites « sensibles » au sein d’un RSE?
  • Comment gérer les différents droits internationaux, car au delà de la CNIL en France, quid des autres pays d’Europe et même au-delà, ce qui pose encore plus de problèmes.
  • Question de l’extra-territorialité des données : exemple de Facebook et de la réponse d’un nouveau site de réseau social Todobravo qui propose une logique de multi profils.
  • Question de la responsabilité du fabricant du RSE pour se mettre en conformité.
  • Exemple d’une école et de sa difficulté à définir le périmètre d’un RSE : les employés, les élèves, mais aussi les élèves de d’autres écoles dans 65 nationalités… sans compter les projets dans lesquels les étudiants sont impliqués. Exemple des notes des élèves à Singapour qui ne peuvent pas être fournies. Il faut donc que l’élève récupère sa note à Singapour et la donne à son université en France.
  • La question du droit associé : quand je mets en place un RSE, est ce que je deviens éditeur ou hébergeur ?
  • Le cas de la mobilité entre deux entreprises et un réseau social (logique d’outplacement), avec toutes la problématique de donner des informations sans trop en dire: dire qu’on bouge est un problème pour son manager tout en étant nécessaire pour bouger dans l’autre entreprise.
  • Rappel des Conditions Générales d’Utilisation de LinkedIn qui impliquent d’accepter la loi américaine et d’aller devant les tribunaux en Californie en cas de litige. Par contre, les CGU étaient traduites et la loi de protection personnelle est plus stricte et protectrice en Californie qu’en France.
  • Comment gérer la question du SocialCRM et du lien du RSE interne ?
  • Question sur les risques juridiques de donner l’accès aux salariés pour qu’ils s’expriment sur une page FAN Facebook ? Faut-il modifier la charte NTIC (Nouveaux Moyens d’Information et de Télécommunication)? Aujourd’hui la CNIL n’a pas donné de directive autre que celle G29 qui correspond aux réseaux sociaux externes
  • Dans une entreprise : Faut-il un RSE ? En faut-il plusieurs ? Pourquoi ne pas utiliser Facebook? Quelles chartes ? Comment encadrer ? Et qui entre la RH& la DSI aura la primauté du RSE ?
  • Recherche de solutions pour que les personnes puissent contrôler leurs données ? Comment éviter qu’un mail soit envoyé en copie à la terre entière  par exemple ?
  • Comment faire pour que des chartes d’utilisation ne deviennent pas obsolètes avec l’arrivée des RSE ? Et comment gérer la question du droit à l’oubli ?
  • Evocation du cas sensible des collectivités locales notamment avec le poids des élus qui politisent le sujet.
  • Des outils de plus en plus évolués, par exemple sur le tracking prenant une dimension RH qui en utilise les données.
  • Exemple d’un RSE qui marche dans l’entreprise : mais où les recommandations de la RH ne sont pas entendues.
  • RSE oui, mais plateformes collaboratives par exemple dans le cadre de projets de recherche européens : la question est plus celle de la confidentialité que celle de la CNIL.
  • Volonté de la part des métiers d’échanger de plus en plus d’informations alors qu’on est sur des échanges d’informations qui peuvent être « touchy » comme la banque, l’assurance, la santé.
  • Un RSE pour les correspondants de la CNIL en interne.
  • Un rôle aux US le CPO : Chief Privacy Officer.
  • Problème des niveaux d’écriture différents entre le réseau social de l’entreprise et les réseaux sociaux publics de l’entreprise, si c’est « plus sympa », on écrit plus de bêtises
  • Problématique des sujets « neufs » et de leurs réponses juridiques de la CNIL. Exemple de question précise : comment garantir que c’est conforme ?
  • La question centrale est celle de la responsabilité. Devant un tribunal il ne suffit pas d’avoir mis une charte pour que l’entreprise soit dédouanée de sa responsabilité.
  • La question d’un Responsable de la Sécurité des Systèmes d’Information: au-delà des données personnelles, il doit protéger sur les questions de confidentialité qui sont aussi voir plus importantes.
  • Sortie d’un livre de la collection Hermès Lavoisier sur les RSE qui traite des questions d’usage, du panorama de l’offre et des questions juridiques.
  • Les guides de bonnes conduites sont des bons garde-fous pour éviter les dérives : c’est le choix d’aller vite, avec une régulation adaptative et la croyance en une auto régulation. La problématique étant de ramener les conversations au sein des entreprises.
  • Question du droit à l’oubli: abordée la première fois lorsqu’un gros contributeur du RSE a quitté l’entreprise. Une solution a été trouvée par discussion au sein d’un groupe de travail informel.
  • Cas d’un projet de RSE lancé par la DSI qui n’a pas consulté la CIL interne pour le projet. Risques identifiés : données sur les clients et droit  à l’oubli.
  • Question cruciale qui se pose dès qu’une entreprise française décide de faire héberger son RSE en dehors de l’Union Européenne ou que certains de ses utilisateurs y sont également situés : Faut-il, oui ou non, faire une demande d’autorisation préalable à la CNIL ou bien une simple déclaration suffit-elle ? Tout en sachant qu’en cas d’ouverture du RSE aux clients, le problème devient encore plus important.
  • Problématique d’inclure les externes aux internes au sein d’un RSE (régies, intérimaires).
  • Quel est le rôle de l’administrateur, la responsabilité de celui qui laisse passer un message et qui doit modérer ?

A venir : l’AFCDP organise un atelier pour répondre aux enjeux évoqués ci-dessus.

Merci à eux de nous aider à structurer la gouvernance des RSE.

Pour notre part, Jamespot, a pour vocation d’intégrer au plus tôt ces éléments de droits, pour aider les entreprises à mettre en place un RSE tout en contrôlant les risques.

Publicités

A propos blogjamespot

Mené par 3 entrepreneurs dans le numérique depuis plus de 15 ans, Jamespot porte la vision que le Web transforme et accélère les nouveaux usages autour de l’information pour l’individu et dans l’entreprise. Jamespot édite le site éponyme Jamespot.com, un réseau social qui permet de communiquer à ses amis ce qui nous intéresse sur le Web en un simple clic. Jamespot.com c’est à ce jour, des dizaines de milliers de Spotteurs actifs répartis sur 12 pays. Fort de son succès croissant et de l’adoption spontanée de ce nouveau réflexe, sur le Web, Jamespot décline également une version professionnelle, Jamespot.Pro, pour l’entreprise 2.0 qui impulse la puissance du réseau social au business.
Cet article, publié dans Événements, est tagué , , , , , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s