Accélérateur d’Agilité RH

Le Blog Newext RH

Les 12 travaux des RH, épisode 2 : « La protection des données RH »

Hafid Bendib Abdelhafid Bendib

Le RGPD (règlement général sur la protection des données) est un nouveau règlement européen qui encadre les règles de protection des données personnelles (règlement UE 2016/679). Il fixe de nouveaux droits pour les personnes physiques dont les données sont collectées et de nouvelles obligations pour les responsables de leur traitement (essentiellement des administrations et des entreprises).

Cette nouvelle réglementation vise à mieux adapter le droit des personnes à l’évolution numérique, et notamment au développement du « big data », du e-commerce, des objets connectés... qui reposent en grande partie sur la collecte et le traitement des données personnelles.

Qui est concerné par le RGPD ?

Toutes les entreprises responsables de traitements de données personnelles sont concernées par le RGPD. Les grandes entreprises, mais aussi les TPE et les PME. Les nouvelles obligations concerneront notamment les sous-traitants des grandes sociétés qui devront démontrer leur mise en conformité au RGPD (sous peine de perdre rapidement des contrats...).

Mais les obligations du règlement ne se limitent pas aux seules entreprises privées puisque les administrations ou les associations sont également concernées.

Le RGPD ne s’applique pas aux particuliers, c’est-à-dire, selon l’article 18 du règlement, aux personnes physiques qui effectuent des traitements de données à caractère personnel au cours d’activités strictement personnelles ou domestiques. Ces traitements de données doivent être sans lien avec une activité professionnelle ou commerciale.

Date d’entrée en vigueur

Le RGPD doit entrer en vigueur en France et dans les autres pays de l’UE le 25 mai 2018 (date inscrite à l’article 99 du RGPD).

Sanction de la CNIL (pour non-conformité)

Le règlement étend le pouvoir de sanction de la CNIL. Celle-ci pourra désormais infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du CA mondial de l’entreprise concernée.

Territorialité

Le RGPD aura des implications significatives pour toutes les entreprises avec des salariés résidant dans l’Espace Économique Européen, et ce même s’ils ne sont pas citoyens européens.

Protection des données et ressources humaines

Le cycle de vie des données à caractère personnel et sensible dans les services RH se déroule en 5 étapes, depuis la candidature jusqu’au départ du salarié.

Candidature

  • S’assurer que les contrats établis avec des organismes de recrutement externes sont conformes aux cadre réglementaire et législatif.
  • Mise en place d’un dispositif pour la suppression des données personnelles des candidats non-retenus.
  • Mise à la disposition des candidats non retenus l’ensemble des comptes-rendus des entretiens d’embauche en cas de demande.

Embauche

  • Mise en place d’un registre des données à caractère personnel et sensible et des traitements qui y sont apportés.
  • Information des employés de leurs droits (accès aux données, mise à jour, rectification, suppressions) lors de la collecte de données.

Vie du contrat

  • Garantir la sécurité et la confidentialité des données des salariés par des moyens physiques et informatiques adéquats.
  • Contrôle des habilitations d’accès aux données personnelles.
  • Mise en place d’un système de demande d’accès, de rectification ou de suppression de données personnelles.

Départ

  • S’assurer que les données des anciens employés soient bien supprimées dans le respect de la durée légale de rétention, que ce soit pour les données numériques ou sous format papier.

Quelques bonnes pratiques pour être en conformité

La minimisation des données

Ne recueillir que les données nécessaires à l’objectif visé. Dans un recrutement, seules les données nécessaires pour évaluer la capacité du candidat à occuper le poste doivent être recueillies. Il est par exemple interdit de demander au candidat son numéro de sécurité sociale, son appartenance syndicale. Ces données ne sont ni pertinentes, ni nécessaires à ce stade du recrutement. Ce n’est que lors de l’embauche du salarié que l’employeur peut collecter des informations complémentaires nécessaires aux différentes obligations légales lui incombant, et notamment le numéro de sécurité sociale, nécessaire aux déclarations sociales obligatoires.

Le respect des durées de conservation

Les données des salariés ne doivent pas être conservées plus longtemps que cela est nécessaire à l’exécution de leur contrat de travail, aux obligations légales ou à la raison pour laquelle elles ont été collectées à l’origine. Ce principe vaut tout autant pour les données relatives à un candidat non retenu à l’embauche, dont les données doivent être détruites 2 ans après le dernier contact, que pour les données relatives à la paie, qui doivent être détruites au bout de 5 ans. La multitude d’applications RH (gestion des temps, SIRH, paie, etc.), en plus des dossiers papiers, rend la suppression ou la purge des données difficiles. Purger les données d’un fichier Excel reprenant l’historique des formations du salarié ou l’historique des visites médicales peut être très contraignant : d’où l’avantage d’utiliser un seul et même logiciel dans lequel on peut définir des durées de conservation précises et une purge automatique à la fin de cette durée de conservation.

L’information des salariés et l’obtention de leur consentement

L’employeur est non seulement tenu d’informer ses salariés et ses candidats sur ce qu’il fait avec leurs données, mais aussi, dans certains cas, d’obtenir leur consentement à l’utilisation de ces dernières. Candidats comme salariés doivent ainsi être informés de l’identité du responsable du fichier, de l’objectif du fichier, des destinataires des informations recueillies et de la possibilité d’exercer leurs droits vis-à-vis de ces informations. Aucune information ne peut être recueillies sans une information préalable, information qui peut être donnée dans le règlement intérieur, leur contrat de travail ou dans des notices d’information disponibles sur l’intranet de l’entreprise ou envoyées par email. Le consentement des personnes concernées doit avoir été recueilli de manière explicite et non équivoque pour certains traitements. Par exemple lors d’évènements organisés par l’entreprise, si des photographies sont prises des salariés, il faut veiller à ce que chacun d’entre eux ait donné son consentement pour l’utilisation et la diffusion des images. Ce consentement peut être recueilli par le biais d’une autorisation écrite ou d’une case à cocher par exemple.

Le respect des droits des salariés sur leurs données

Le RGPD redonne aux personnes la maîtrise de leurs données. Cette maîtrise est bien évidemment aussi ouverte aux salariés qui doivent être en mesure de s’adresser à leur service RH pour exercer leurs droits. Dans la mesure où une réponse doit leur être apportée sous 1 mois, il est dans l’intérêt de tous d’avoir un processus RH adapté. Les droits d’accès et de rectification peuvent par exemple être facilités par un SIRH collaboratif sur lequel le salarié peut avoir accès et rectifier (ou demander à faire rectifier) les données le concernant dans le système. Le droit à l’oubli, consacré par le RGPD et qui permettra au salarié de faire effacer l’ensemble des données collectées (dans la limite des obligations légales), impose à l’employeur de savoir exactement où se trouvent les données en question, d’où l’utilité d’un SIRH global regroupant l’ensemble des données au même endroit. Le droit à la portabilité, autre innovation du RGPD, est à intégrer dans les SIRH et doit permettre au salarié de récupérer sous un format lisible par machine l’ensemble des données qu’il a fourni pour l’exporter dans un autre système.

La sécurisation des dossiers

Savoir où se trouvent précisément les données est une chose, mais être en mesure de définir précisément qui a accès à quelles données est un autre prérequis du RGPD qui peut être couvert par un SIRH. En effet, outre les mesures de sécurité techniques qui doivent être appliquées aux données personnelles des salariés, la problématique de l’accès à ces données confidentielles est très importante. Il arrive souvent qu’au sein d’un service RH, le responsable du recrutement, de la formation du personnel et de la paie se trouvent dans le même bureau, or ces personnes n’ont pas à avoir accès aux mêmes données. Lorsque ces données se trouvent dans des dossiers papiers, les possibilités de restrictions d’accès sont plus réduites que lorsque ces données se trouvent au sein d’un SIRH où elles peuvent être cloisonnées et où les membres du service RH peuvent avoir des accès différents en fonction de leurs rôles et de l’utilisation qu’ils en font.

Plateforme Newext RH

Notre plateforme digitale RH permet, en structurant ces données, de maîtriser précisément où et par qui elles sont utilisées et rend leur destruction ou anonymisation plus simple. L’entreprise se conforme ainsi au RGPD tout en améliorant la productivité et la sécurisation des processus RH.

Elle offre également au salarié comme l’exige le RGPD un accès pour rectifier ou demander la rectification des données le concernant dans le système.

Sources :
https://www.cnil.fr/
https://www2.deloitte.com/fr
https://www-03.ibm.com/
https://www.rhinfo.com
http://www.newext-rh.com/blog

< Retour à la liste des articles du blog

Laissez-nous vous accompagner !

Décrivez-nous votre besoin à l’aide de notre formulaire de contact !

NewextRH

B. 01 78 84 44 19
4 Place Louis Armand, 75012 Paris
www.newext-rh.com

© NewextRH 2018 - Mentions légales