Les possibilités offertes par le Cloud computing (les services de stockage à distance), l’Intelligence Artificielle et les objets connectés ouvrent des voies inédites pour améliorer la gestion des ressources humaines dès aujourd’hui.
Pourtant la probabilité d’être géré par un robot, surveillé par un Big Brother et soumis de surcroît à des risques de cyber menaces, tout concourt à alimenter des peurs et des résistances au sein du corps social.
Dans cette période de transformation immatérielle, l’approche sous la forme Data Centrics, c’est à dire en voulant faire parler des masses de données de manière continue, afin d’extraire des indicateurs multiples servant à prendre des décisions (le Data descriptive) ou même de prévoir l’avenir (le Data prescriptive), suscitent des interrogations légitimes.
La liste de ces craintes est longue : peur de la malveillance dans la diffusion de données personnelles et privées, peur du détournement d’information sensible, peur d’être sous surveillance permanente. Toutes sont fondées. En effet nous savons que les informations (données, data) sont la cible de cyber attaques quasi permanentes. Les PME en font souvent les frais et investissent pour s’en protéger.
Les cyber attaques sont une réalité dont la gestion incombe généralement au moins pour partie à la Direction des RH qui doit gérer la crise et les dommages : Ouvrir une enquête, déposer plainte, changer les codes d’accès et informer le personnel, etc..
Maintenant qu’en est-il de la protection des données dans l’Union Européenne ?
L’UE considère pour sa part que la protection des données personnelles est un droit pour les citoyens européens (cf. la Directive 95/46/CE). Le modèle européen sert aussi de modèle en Afrique, en Asie et en Amérique Latine.
Le concept européen de « données à caractère personnel » est large : « toute information concernant une personne physique identifiée ou identifiable ». Cela inclut les données qui toutes seules ne sont pas liées à une personne spécifique mais qui le pourrait une fois croisées avec d’autres données[1] . La protection et l’exploitation des données personnelles est donc en UE forte, ce qui justifie la présence d’organisme de contrôle comme la CNIL en France.
En outre, dans le modèle européen, des droits sont accordés aux individus tel que le droit à l’information sur les données stockées, un droit d’opposition, un droit d’accès et un droit de rectification des données stockées dans une base gérées sur le territoire. Ces droits n’existent pas aux USA.
Mais le problème vient du fait que les flux transfrontaliers de données sont incessants ; c’est une des caractéristiques fortes de la transformation du monde par le digital. A chaque fois que vous ou quelqu’un dans une entreprise en Europe fait une recherche sur Google, un achat sur Amazon ou sur Apple des données sont alors stockées par des systèmes américains. C’est une évidence que les filiales de groupes américains utilisent quotidiennement des systèmes informatiques de reporting pour faire part de leurs actions commerciales, financières ou RH. Elles possèdent des données qui ressortent du système juridique de protection des USA.
L’interdépendance des modèles de protection des données personnelles est une réalité incontournable : elle doit être intégrée.
Des rapprochements entre les systèmes juridiques UE et USA sont à l’essai ; Yahoo et Amazon pseudonymisent les données de façon à ce que la personne concernée ne soit pas ou plus identifiable (pratique courante aux USA pour les Big Data qu’on retrouve dans un projet de règlement européen). On observe que les USA font aussi des efforts à la lecture du dernier projet de loi fédérale « Data Brokers Accountability and Transparency Act (DATA) » qui devrait reconnaître des droits semblables à ceux qui sont consentis dans l’UE aux personnes: droit à l’information sur les données personnelles stockées, et droits d’accès, de rectification et d’opposition.
Aujourd’hui l’UE évolue également en obligeant les responsables de traitement des données à se soumettre à un contrôle a posteriori (et non plus à priori) ce qui crée une obligation d’accountability c’est-à-dire une obligation de rendre compte et de signaler les failles dans la sécurité des systèmes d’information, avec le devoir de respecter dès la conception d’un système d’information une politique de protection de la vie privée (privacy by design).
[1] (Directive 95/46/CE art. 2) « Est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. »