Le RGPD est désormais bien implanté, mais votre organisation est-elle prête pour NIS 2 ou pour la législation sur l’intelligence artificielle ? Dans un monde où tout tourne de plus en plus autour des systèmes IT, la législation se doit de suivre. Que ne devez-vous absolument pas perdre de vue ? Et comment, en tant qu’expert RH, pouvez-vous faire en sorte de vous tenir au courant et d’attirer les bons profils pour votre entreprise ?

Les entreprises qui ne respectent pas les règles s’exposent à de lourdes amendes. Sans parler du risque d’atteinte à leur réputation. Pourtant, cette législation sur les technologies de l’information ne doit pas être considérée simplement comme une obligation. En tant qu’entreprise, vous avez aussi beaucoup à gagner de son application correcte. C’est pourquoi, en tant qu’expert RH, il est préférable de vous tenir au courant.

De nombreuses lois stipulent de manière claire ce que vous devez faire pour intégrer de bonnes pratiques de sécurité ou pour traiter les données des clients de manière éthique, par exemple. Mais, bien entendu, vous avez toujours besoin des bons profils pour intégrer correctement cette législation. Voici quatre conseils dont vos experts RH et IT doivent tenir compte pour que votre organisation reste en conformité.

1. Comprendre quelles lois sur les technologies de l’information sont pertinentes pour votre organisation

Toutes les lois ne s’appliquent pas à toutes les entreprises. Certaines sont en outre dans un premier temps limitées à un nombre restreint d’organisations, puis sont progressivement étendues. Vous devez donc vous informer de la portée de la nouvelle législation. En tant qu’expert RH, vous avez dès lors tout intérêt à vous concerter régulièrement avec les profils IT de votre organisation. Les publications dans les revues sectorielles et les événements peuvent aussi vous aider à suivre les nouveautés.

Si vous savez ce qui vous attend, vous pouvez vous mettre à l’œuvre à temps et vous ne rencontrerez pas de problèmes lorsque la loi entrera effectivement en vigueur. La législation suivante, entre autres, sera importante pour les entreprises de l’UE au cours des années à venir :

• NIS 2 : avec le successeur de l’actuelle directive NIS, l’UE vise à étendre l’attention portée à la cybersécurité à un plus grand nombre d’entreprises. À l’heure où notre société se numérise, il est essentiel pour les organisations des secteurs de la banque, de l’énergie et des soins de santé, notamment, de mettre en place des mesures de sécurité adéquates. Au niveau belge, la loi doit entrer en vigueur au mois d’octobre.
• Législation sur l’intelligence artificielle : comme presque tout le monde aujourd’hui est confronté à la technologie de l’intelligence artificielle, l’UE a élaboré un cadre législatif visant à garantir une utilisation sûre et éthique de ces outils. Les États membres de l’UE commenceront probablement à appliquer cette législation dans les années à venir.
• DORA : règlement applicable aux institutions financières telles que les banques et les compagnies d’assurance. La loi doit protéger à la fois les clients et le secteur financier dans son ensemble contre les cyberattaques.

D’autres lois sont en cours d’élaboration. Réfléchissez donc attentivement à ce qui est important pour votre entreprise.

2. Fournir des procédures claires au personnel

Des procédures claires et une bonne politique sont la base de la conformité. Les responsables IT doivent donc veiller à ce que le personnel sache ce qu’il doit faire et l’informer des changements en temps utile. Les informations relatives à la politique IT doivent être bien documentées et le personnel de votre organisation doit pouvoir y accéder facilement. En outre, la formation est essentielle pour que chacun soit conscient des attentes et des meilleures pratiques éventuelles.

3. Programmer des audits internes réguliers

Être en conformité avec toute la législation pertinente aujourd’hui ne signifie pas que vous le serez encore demain. Les audits internes sont une solution pratique pour vérifier à intervalles réguliers que vous continuez à satisfaire à toutes les exigences légales. Ils sont aussi une bonne préparation à un audit externe. Un auditeur interne doit bien entendu connaître toutes les règles.

4. Faire appel à des experts

La conformité ne doit pas se limiter aux technologies de l’information. Si votre organisation dispose d’une équipe juridique, cela vaut la peine de l’impliquer dans ce processus. Quoi qu’il en soit, vous avez besoin d’experts qui connaissent la dernière législation en date en matière de technologies de l’information et qui savent comment votre organisation doit s’y préparer. Ils sensibiliseront votre personnel et élaboreront les politiques et procédures adéquates pour que votre organisation soit en conformité et pour mettre en œuvre des mesures (de cybersécurité) fortes.

La législation sur les technologies de l’information peut, à première vue, paraître décourageante pour de nombreuses organisations, mais elle offre au contraire souvent une ligne directrice utile pour s’orienter dans le paysage complexe des technologies de l’information. Finalement, les clients feront davantage confiance à votre organisation et l’impact d’une attaque sera limité. Tout le monde y gagne, sauf les pirates informatiques bien sûr…

Vous recherchez un professionnel pour vous aider ? Chez CHRLY, nous accordons une grande importance à la législation sur les technologies de l’information. N’hésitez pas à consulter notre offre de talents IT !