Newext RH, votre partenaire de A à Z
dans la digitalisation de vos processus RH
Simplifions demain !
Envie d’en savoir plus ? Contactez-nousLe RGPD (règlement général sur la protection des données) est un nouveau règlement européen qui encadre les règles de protection des données personnelles (règlement UE 2016/679). Il fixe de nouveaux droits pour les personnes physiques dont les données sont collectées et de nouvelles obligations pour les responsables de leur traitement (essentiellement des administrations et des entreprises).
Cette nouvelle réglementation vise à mieux adapter le droit des personnes à l’évolution numérique, et notamment au développement du « big data », du e-commerce, des objets connectés… qui reposent en grande partie sur la collecte et le traitement des données personnelles.
Qui est concerné par le RGPD ?
Toutes les entreprises responsables de traitements de données personnelles sont concernées par le RGPD. Les grandes entreprises, mais aussi les TPE et les PME. Les nouvelles obligations concerneront notamment les sous-traitants des grandes sociétés qui devront démontrer leur mise en conformité au RGPD (sous peine de perdre rapidement des contrats…).
Mais les obligations du règlement ne se limitent pas aux seules entreprises privées puisque les administrations ou les associations sont également concernées.
Le RGPD ne s’applique pas aux particuliers, c’est-à-dire, selon l’article 18 du règlement, aux personnes physiques qui effectuent des traitements de données à caractère personnel au cours d’activités strictement personnelles ou domestiques. Ces traitements de données doivent être sans lien avec une activité professionnelle ou commerciale.
Date d’entrée en vigueur
Le RGPD doit entrer en vigueur en France et dans les autres pays de l’UE le 25 mai 2018 (date inscrite à l’article 99 du RGPD).
Sanction de la CNIL (pour non-conformité)
Le règlement étend le pouvoir de sanction de la CNIL. Celle-ci pourra désormais infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du CA mondial de l’entreprise concernée.
Territorialité
Le RGPD aura des implications significatives pour toutes les entreprises avec des salariés résidant dans l’Espace Économique Européen, et ce même s’ils ne sont pas citoyens européens.
Le cycle de vie des données à caractère personnel et sensible dans les services RH se déroule en 5 étapes, depuis la candidature jusqu’au départ du salarié.
Candidature
Embauche
Vie du contrat
Départ
La minimisation des données
Ne recueillir que les données nécessaires à l’objectif visé. Dans un recrutement, seules les données nécessaires pour évaluer la capacité du candidat à occuper le poste doivent être recueillies. Il est par exemple interdit de demander au candidat son numéro de sécurité sociale, son appartenance syndicale. Ces données ne sont ni pertinentes, ni nécessaires à ce stade du recrutement. Ce n’est que lors de l’embauche du salarié que l’employeur peut collecter des informations complémentaires nécessaires aux différentes obligations légales lui incombant, et notamment le numéro de sécurité sociale, nécessaire aux déclarations sociales obligatoires.
Le respect des durées de conservation
Les données des salariés ne doivent pas être conservées plus longtemps que cela est nécessaire à l’exécution de leur contrat de travail, aux obligations légales ou à la raison pour laquelle elles ont été collectées à l’origine. Ce principe vaut tout autant pour les données relatives à un candidat non retenu à l’embauche, dont les données doivent être détruites 2 ans après le dernier contact, que pour les données relatives à la paie, qui doivent être détruites au bout de 5 ans. La multitude d’applications RH (gestion des temps, SIRH, paie, etc.), en plus des dossiers papiers, rend la suppression ou la purge des données difficiles. Purger les données d’un fichier Excel reprenant l’historique des formations du salarié ou l’historique des visites médicales peut être très contraignant : d’où l’avantage d’utiliser un seul et même logiciel dans lequel on peut définir des durées de conservation précises et une purge automatique à la fin de cette durée de conservation.
L’information des salariés et l’obtention de leur consentement
L’employeur est non seulement tenu d’informer ses salariés et ses candidats sur ce qu’il fait avec leurs données, mais aussi, dans certains cas, d’obtenir leur consentement à l’utilisation de ces dernières. Candidats comme salariés doivent ainsi être informés de l’identité du responsable du fichier, de l’objectif du fichier, des destinataires des informations recueillies et de la possibilité d’exercer leurs droits vis-à-vis de ces informations. Aucune information ne peut être recueillies sans une information préalable, information qui peut être donnée dans le règlement intérieur, leur contrat de travail ou dans des notices d’information disponibles sur l’intranet de l’entreprise ou envoyées par email. Le consentement des personnes concernées doit avoir été recueilli de manière explicite et non équivoque pour certains traitements. Par exemple lors d’évènements organisés par l’entreprise, si des photographies sont prises des salariés, il faut veiller à ce que chacun d’entre eux ait donné son consentement pour l’utilisation et la diffusion des images. Ce consentement peut être recueilli par le biais d’une autorisation écrite ou d’une case à cocher par exemple.
Le respect des droits des salariés sur leurs données
Le RGPD redonne aux personnes la maîtrise de leurs données. Cette maîtrise est bien évidemment aussi ouverte aux salariés qui doivent être en mesure de s’adresser à leur service RH pour exercer leurs droits. Dans la mesure où une réponse doit leur être apportée sous 1 mois, il est dans l’intérêt de tous d’avoir un processus RH adapté. Les droits d’accès et de rectification peuvent par exemple être facilités par un SIRH collaboratif sur lequel le salarié peut avoir accès et rectifier (ou demander à faire rectifier) les données le concernant dans le système. Le droit à l’oubli, consacré par le RGPD et qui permettra au salarié de faire effacer l’ensemble des données collectées (dans la limite des obligations légales), impose à l’employeur de savoir exactement où se trouvent les données en question, d’où l’utilité d’un SIRH global regroupant l’ensemble des données au même endroit. Le droit à la portabilité, autre innovation du RGPD, est à intégrer dans les SIRH et doit permettre au salarié de récupérer sous un format lisible par machine l’ensemble des données qu’il a fourni pour l’exporter dans un autre système.
La sécurisation des dossiers
Savoir où se trouvent précisément les données est une chose, mais être en mesure de définir précisément qui a accès à quelles données est un autre prérequis du RGPD qui peut être couvert par un SIRH. En effet, outre les mesures de sécurité techniques qui doivent être appliquées aux données personnelles des salariés, la problématique de l’accès à ces données confidentielles est très importante. Il arrive souvent qu’au sein d’un service RH, le responsable du recrutement, de la formation du personnel et de la paie se trouvent dans le même bureau, or ces personnes n’ont pas à avoir accès aux mêmes données. Lorsque ces données se trouvent dans des dossiers papiers, les possibilités de restrictions d’accès sont plus réduites que lorsque ces données se trouvent au sein d’un SIRH où elles peuvent être cloisonnées et où les membres du service RH peuvent avoir des accès différents en fonction de leurs rôles et de l’utilisation qu’ils en font.
Notre plateforme digitale RH permet, en structurant ces données, de maîtriser précisément où et par qui elles sont utilisées et rend leur destruction ou anonymisation plus simple. L’entreprise se conforme ainsi au RGPD tout en améliorant la productivité et la sécurisation des processus RH.
Elle offre également au salarié comme l’exige le RGPD un accès pour rectifier ou demander la rectification des données le concernant dans le système.
Sources :
https://www.cnil.fr/
https://www2.deloitte.com/fr
https://www-03.ibm.com/
https://www.rhinfo.com
https://www.newext-rh.com/blog
Newext RH, votre partenaire de A à Z
dans la digitalisation de vos processus RH
Simplifions demain !
Envie d’en savoir plus ? Contactez-nous
TRIBUNE de Charbel AZZAM – Country Manager France chez Traxxeo Le marché de la GTA en France : vers une nécessaire spécialisation « En tant que professionnel dans le domaine des ressources humaines et de la digitalisation, j’ai pu observer de près les évolutions et les défis du marché de la Gestion des Temps et des […]
TRIBUNE de Mirkelam Oflas, Responsable marketing et communication chez InsideJob Le recrutement représente un défi majeur pour les entreprises, confrontées à la difficulté de trouver le candidat idéal parmi un grand nombre de postulants. La gestion interne des candidatures peut rapidement devenir fastidieuse, et le curriculum vitae (CV) traditionnel ne suffit pas toujours à révéler […]
Dans le monde en constante évolution des ressources humaines, le rôle du consultant en Système d’Information des Ressources Humaines (SIRH) et en Paie devient de plus en plus crucial. Chez Newext RH, notre expérience dans ce domaine nous permet de toujours mieux appréhender l’importance technique de ces systèmes mais aussi leur impact profond sur la […]