l'information professionnelle Intranet et Travail Collaboratif 
La loi Informatique et Libertés s'applique-t-elle aux RSE ?
Les règles d'or de la loi qui, je le rappelle, n'est pas franco-française mais est une transposition d'une directive européenne, s'appliquent à un RSE comme à tout traitement de données à caractère personnel.
Ces règles peuvent être résumées en quelques grands principes. Tout d'abord, une collecte de données ne doit pas être faite au hasard : elle doit avoir une finalité, légitime et transparente. Et le responsable de traitement ne doit collecter que les données pertinentes au regard de cette finalité. Ensuite, une durée de conservation des données, cohérente avec l'objectif poursuivi, doit être spécifiée. S'y ajoute une obligation de protection des données, le niveau de sécurité devant bien sûr être adapté à leur sensibilité, par une approche par les risques. Enfin, tout un chacun a un droit d'information et d'accès à ses données personnelles et peut demander leur correction, voire leur suppression dans certains cas.
Si l'entreprise dispose d'un CIL, un correspondant Informatique et Libertés, il est fortement recommandé au responsable du RSE de se rapprocher de lui dès le début du projet, afin de s'assurer de sa conformité. Une mise au registre du CIL devra être effectuée, ou bien une démarche de formalisation auprès de la CNIL. La finalité du RSE devra y figurer et il faudra procéder à des déclarations modificatrices au fur et à mesure de l'évolution du réseau social.
Les RSE sont naissants dans les entreprises. Les membres de votre association ont-ils constaté un fossé entre la théorie et la pratique ?
Nous sommes dans une situation équivalente aux débuts de l'e-mail en entreprise. Pour l'instant, le RSE n'est pas un outil obligatoire mais nous savons tous qu'il peut rapidement le devenir. Les entreprises devraient réfléchir à la conformité Informatique et Libertés de leur RSE dès maintenant et en se projetant à deux ans. Notre groupe de travail dédié aux RSE a recueilli de nombreux témoignages montrant que les entreprises soit n'ont pas conscience, soit sous-estiment ces enjeux.
Prenons tout simplement la finalité du RSE : parfois elle n'est pas indiquée, l'entreprise voulant observer comment les utilisateurs vont s'en emparer et quels usages ils vont imaginer. Il est alors difficile pour le CIL de réaliser son analyse, la finalité en étant le point de départ.
Par ailleurs, les risques de dérive s'avèrent multiples. On peut évoquer par exemple le risque dit du "portrait chinois", où l'on demande au salarié de se présenter. Avec des informations trop personnelles indiquées sur un profil à la Facebook, on pourrait aboutir à des cas de discrimination, de stigmatisation ou de harcèlement. Attention aussi à l'utilisation détournée des RSE pour cybersurveiller des salariés. Enfin, certains envisagent déjà le jour où, le RSE étant devenu obligatoire au sein de l'entreprise, un salarié utilisera le journal de connexion pour revendiquer le paiement d'heures supplémentaires.
Les entreprises laissent parfois les projets de RSE s'organiser très librement. Le correspondant (CIL) n'est il pas perçu comme un obstacle au projet ?
Le CIL n'est en rien un anti-RSE. Il observe là un nouvel usage professionnel se développer et c'est son rôle de le rendre possible, mais dans le strict respect de la loi Informatique et Libertés et du droit des personnes. Un bon CIL est un facilitateur. L'entreprise va devoir répondre à de nombreuses questions que soulèvent les RSE. Que fait-on des données personnelles une fois que le collaborateur a quitté l'entreprise : s'il demande qu'elles soient effacées, faudra-t-il supprimer tout avis de sa part et toute mention de son nom au sein du RSE ? Quelles précautions spécifiques prendre lorsque le RSE s'ouvrira à certains clients ou partenaires ? Peut-on ouvrir un RSE sur les questions de gestion des handicaps, en sachant qu'on touche là à des données dites sensibles ?
On voit qu'il est important que les entreprises intègrent cette problématique le plus en amont possible, et du moins avant que leur RSE ne prenne de l'ampleur.
