Compversation #16 - Le RGPD du Comp & Ben ?

Une décision du parlement européen tombe… et c’est le sujet de l’année pour les entreprises françaises. Branle-bas de combat dans les Comex, le mot d’ordre est à l’anticipation...ou pas. 

Bien avant la date fatidique de l'entrée en vigueur du texte, certaines entreprises revoient leur organisation et mènent les changements nécessaires de la manière la plus indolore possible. D’autres optent pour la politique de l’autruche en misant sur les zones de flou juridique….

Au risque de voir les clarifications tomber en même temps que les premières sanctions. On parle bien de la directive 2023/970 du 10 mai 2023 ? Celle qui vise à renforcer l’égalité homme-femme via la transparence salariale ? 

Oui, certes, mais si vous avez une impression de déjà-vu, vous n’avez pas tort. 

C’est que l’adoption du Règlement Général sur la Protection des Données (RGPD), en 2016, a créé une frénésie similaire - mais  dans les départements data et juridique - jusqu’à son entrée en vigueur en 2018. 

Et si les responsables RH et Comp & Ben pouvaient bénéficier de l’expérience de leurs collègues juristes ou DPO ? 

J’ai donc posé mes questions à l’avocate Julie Schwartz, spécialisée en Privacy et en Cybersécurité.  Elle revient, avec un recul de 5 ans, sur la manière dont les entreprises se sont préparées (ou pas) au RGPD… 

Quelles ont été les stratégies gagnantes ? Une discussion passionnante et riche en enseignements - qui pourra, je l’espère, vous aider en cette période de transition. 

‍

La cigale ayant chanté… 

‍

Alors, est-ce que le parallèle entre la directive sur la transparence salariale et le RGPD tient la route ? 

‍

Premier constat : Les entreprises réagissent grosso modo de deux manières bien distinctes face à un changement législatif.  

Est-ce la nature humaine ? En tout cas, les choses n’ont pas vraiment changé depuis le temps de Jean de La Fontaine. 

‍

D’un côté, le camp fourmi : « Certaines entreprises se sont saisies du sujet immédiatement, en faisant le nécessaire pour se mettre en conformité », explique Julie Schwartz. Il s’agit aussi des entreprises qui ont vite compris que la sécurité des données était un vrai argument marketing. 

Protéger les données des consommateurs, mais surtout, communiquer autour de la data privacy, sont des stratégies gagnantes : c’est ce constat qui a permis de débloquer, tôt, du budget en interne pour se mettre en conformité. 

De la même manière, les entreprises qui s’emparent dès aujourd’hui du sujet de la pay transparency ont bien en tête les retombées positives sur leur marque employeur. Je conseille d’ailleurs à tout.e responsable RH/Rémunération qui souhaite obtenir des moyens pour se préparer aux échéances à venir, d’utiliser cette carte dans ses efforts de lobbying.

‍

Et puis il y a le camp cigale : « D’autres se sont dit qu’elles verraient plus tard, surtout lorsqu’elles n’avaient pas de budget à accorder à cette transition. Elles ont misé sur l’immobilisme en attendant les premières sanctions. » 

Et comme dans la fable, on risque gros à se réveiller trop tard. « Quand les entreprises retardataires ont décidé d’enfin se préparer au RGPD, elles avaient face à elles un trop gros chantier, qui ne pouvait pas être expédié en six mois. 

Elles ont pris conscience d’un coup du travail à faire et du budget à sortir, sans parler des nouvelles tâches qui s'ajoutent au fur et à mesure de l’application. 

‍

Il est très difficile de bien faire dans l’urgence. 

‍

"On peut à la limite colmater les brèches pour construire une conformité de façade. Sur le papier, tout va bien, mais dans les coulisses, non."

‍

Je pourrais dire la même chose, mot pour mot, sur la transition vers la transparence salariale. 

Mettre en place une politique de rémunération équitable, corriger les écarts historiques, former les équipes de terrain (RH comme managers) à la rémunération est un long travail qui prend plus de quelques mois… 

‍

Directive ou règlement ? 

‍

Jusque là, la comparaison tient la route. Mais en écoutant Julie Schwartz parler, je suis bien obligé d’admettre que, dans le cas de la transparence, les « bons élèves »  sont bien plus rares. 

Il y a très peu d’entreprises qui ont d’ores et déjà pris la question à bras le corps.

Autre point de différence : pour se mettre aux normes du RGPD, les entreprises ont été obligées de revoir leur structure interne.

D’abord, pour désigner un Data Protection Officer, comme le règlement le stipule. Dans bien des cas, des taskforces se sont aussi constituées pour garantir la mise en application du règlement. Bien sûr, les systèmes qui se sont mis en place n’ont pas toujours été parfaits : souvent, ces nouvelles responsabilités s’accumulent à celles existantes. Mais je n’ai presque jamais vu de taskforce dédiée à la transparence des rémunérations se créer… 

Pourquoi ? 

‍

Une partie de la réponse pourrait venir d’une subtilité juridique. Le RGPD est un règlement européen. 

C’est-à-dire qu’il s’applique directement dans tous les États membres, à la date stipulée dans le règlement même (le 25 mai 2018, dans le cas du RGPD), sans avoir besoin d’être transposé dans la législation nationale. 

Les sanctions, aussi, étaient stipulées dans le règlement. La directive pour la transparence, elle, c’est justement… une directive. 

‍

C’est-à-dire, rappelle Julie Schwartz, que les États membres doivent la transposer dans leur droit interne pour qu’elle devienne applicable. Ils ont jusqu’à 2026 pour le faire. En attendant que la loi passe, on ne peut que prédire ses contours exacts… et la portée des sanctions. 

Le sentiment d’urgence est donc dilué par cette incertitude.  

‍

Le sens de l’histoire 

‍

Est-ce pour ça que le RGPD a eu un tel impact sur les entreprises ? 

‍

Une phrase de Julie Schwartz m’en fait douter :  « 75% des dispositions du RGPD existaient déjà dans la loi française. »

Pourtant, le nombre de plaintes et de sanctions autour de la protection des données a bondi après son entrée en vigueur. Il n’y a qu’à lire les rapports annuels du CNIL. 

Il reçoit 32,5% de plaintes en plus de 2017 à 2018, et 27% de plaintes en plus de 2018 à 2019. En 2023, 42 entreprises recevaient des sanctions, contre 13 en 2016. 

« On constate une explosion de plaintes adressées au CNIL et de demandes d’accès aux données adressées aux entreprises. »

‍

En cause ? L’exposition médiatique de la thématique. 

‍

« On a tellement parlé du RGPD que les consommateurs se sont rendu compte qu’ils avaient des droits et ont décidé de les exercer… même si ces droits préexistaient au RGPD. »

‍

De la même manière, il y a fort à parier que les recours face à des situations d’inégalités de salaire qui tombent déjà sous le coup de la loi, vont exploser dans les prochaines années. Et ce, indépendamment du contenu de la loi à venir et des sanctions prévues. Le battage médiatique suffira à faire exploser les contentieux. 

‍

Plus on parle de transparence, plus les salariés feront valoir leurs droits existants et plus ils oseront poursuivre leurs employeurs pour discrimination salariale. Et c’est sans doute cela la leçon principale qu’on peut tirer de l’entrée en vigueur du RGPD. 

Le monde n’a pas subitement changé le 25 mai 2018. Ce n’était pas un raz-de-marée soudain.  

‍

Mais depuis 2016 jusqu’à aujourd’hui, on a évolué vers un monde où la data privacy est centrale. Les consommateurs s’attendent à voir leurs données protégées. 

Et les entreprises se sont rendu compte qu’il fallait évoluer avec le sens de l’histoire. 

‍

Mais Julie Schwartz attire mon attention sur une conséquence du RGPD qui n’était pas vraiment prévisible en amont : 

« La loi peut être détournée, dans un contexte de précontentieux RH, par exemple. Au nom du RGPD, un employé peut réclamer l’accès à toutes ses données détenues par l’entreprise… afin de renforcer leurs dossiers de contentieux par des éléments en leur faveur. Ce n’est pas l’esprit de la loi. » 

‍

De la même manière, il est possible que la directive européenne pour la transparence salariale ait des conséquences indirectes imprévisibles. Et tout comme les termes exacts de la loi à venir, les sanctions encourues par les entreprises contrevenantes… elles sont incertaines. 

‍

Ce qui est certain en revanche : les entreprises qui misent tôt sur la transparence auront plus de chance de rester conformes, n’auront pas à mener de grands changements dans l’urgence et, surtout, pourront bénéficier de l’avantage comparatif de la transparence pour leur marque employeur. 

Et, surtout, elles iront dans le sens de l’histoire.

Alors que pour celles qui auront chanté tout l’été, rien n’est moins sûr.

‍

Pour continuer la conversation

‍

Une sélection de contenus pour nourrir la réflexion. N’hésitez pas à m’envoyer les articles qui vous ont semblé intéressants ! 

‍

L'impact économique du RGPD, 5 ans après  - CNIL

« On constate d’un point de vue qualitatif un retour sur investissement de la conformité RGPD, en termes de réputation aux yeux des clients et des partenaires, de sécurité informatique, de connaissance de la « donnée » disponible au sein d’une entreprise ou d’économies opérationnelles, par exemple. » 

C'est dans ces termes que le CNIL parle des bénéfices économiques du RGPD 5 ans plus tard. Il est intéressant de se demander quels pourraient être les impacts économiques de la directive pour les entreprises ?

‍

The gender pay gap isn’t budging enough, but the best companies close it - Josh Bersin - HR Executive - (En Anglais)

Josh Bersin fait partie des voix RH outre-Atlantique que je suis avec particulièrement d’attention. Dans cet article, il fait un état des lieux de l’écart salarial qui ne se réduit pas assez vite, mais que les meilleures entreprises travaillent à minimiser. 

‍

La transparence salariale, c'est pour bientôt ! - Isabelle Meijers - Les Echos 

Et dans la vie réelle, ça se passe comment, la transition vers plus de transparence ? Une belle étude de cas avec la start-up parisienne Ethi'Kdo dont le fondateur Séverin Prats a pris la question à bras le corps depuis 2023. 

‍