Newext RH

Les 12 travaux des RH, épisode 2 : « La protection des données RH »

 
Abdelhafid Bendib

Le RGPD (règlement général sur la protection des données) est un nouveau règlement européen qui encadre les règles de protection des données personnelles (règlement UE 2016/679). Il fixe de nouveaux droits pour les personnes physiques dont les données sont collectées et de nouvelles obligations pour les responsables de leur traitement (essentiellement des administrations et des entreprises).

Cette nouvelle réglementation vise à mieux adapter le droit des personnes à l’évolution numérique, et notamment au développement du « big data », du e-commerce, des objets connectés… qui reposent en grande partie sur la collecte et le traitement des données personnelles.

Qui est concerné par le RGPD ?

Toutes les entreprises responsables de traitements de données personnelles sont concernées par le RGPD. Les grandes entreprises, mais aussi les TPE et les PME. Les nouvelles obligations concerneront notamment les sous-traitants des grandes sociétés qui devront démontrer leur mise en conformité au RGPD (sous peine de perdre rapidement des contrats…).

Mais les obligations du règlement ne se limitent pas aux seules entreprises privées puisque les administrations ou les associations sont également concernées.

Le RGPD ne s’applique pas aux particuliers, c’est-à-dire, selon l’article 18 du règlement, aux personnes physiques qui effectuent des traitements de données à caractère personnel au cours d’activités strictement personnelles ou domestiques. Ces traitements de données doivent être sans lien avec une activité professionnelle ou commerciale.

Date d’entrée en vigueur

Le RGPD doit entrer en vigueur en France et dans les autres pays de l’UE le 25 mai 2018 (date inscrite à l’article 99 du RGPD).

Sanction de la CNIL (pour non-conformité)

Le règlement étend le pouvoir de sanction de la CNIL. Celle-ci pourra désormais infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du CA mondial de l’entreprise concernée.

Territorialité

Le RGPD aura des implications significatives pour toutes les entreprises avec des salariés résidant dans l’Espace Économique Européen, et ce même s’ils ne sont pas citoyens européens.

Protection des données et ressources humaines

Le cycle de vie des données à caractère personnel et sensible dans les services RH se déroule en 5 étapes, depuis la candidature jusqu’au départ du salarié.

Candidature

Embauche

Vie du contrat

Départ

Quelques bonnes pratiques pour être en conformité

La minimisation des données

Ne recueillir que les données nécessaires à l’objectif visé. Dans un recrutement, seules les données nécessaires pour évaluer la capacité du candidat à occuper le poste doivent être recueillies. Il est par exemple interdit de demander au candidat son numéro de sécurité sociale, son appartenance syndicale. Ces données ne sont ni pertinentes, ni nécessaires à ce stade du recrutement. Ce n’est que lors de l’embauche du salarié que l’employeur peut collecter des informations complémentaires nécessaires aux différentes obligations légales lui incombant, et notamment le numéro de sécurité sociale, nécessaire aux déclarations sociales obligatoires.

Le respect des durées de conservation

Les données des salariés ne doivent pas être conservées plus longtemps que cela est nécessaire à l’exécution de leur contrat de travail, aux obligations légales ou à la raison pour laquelle elles ont été collectées à l’origine. Ce principe vaut tout autant pour les données relatives à un candidat non retenu à l’embauche, dont les données doivent être détruites 2 ans après le dernier contact, que pour les données relatives à la paie, qui doivent être détruites au bout de 5 ans. La multitude d’applications RH (gestion des temps, SIRH, paie, etc.), en plus des dossiers papiers, rend la suppression ou la purge des données difficiles. Purger les données d’un fichier Excel reprenant l’historique des formations du salarié ou l’historique des visites médicales peut être très contraignant : d’où l’avantage d’utiliser un seul et même logiciel dans lequel on peut définir des durées de conservation précises et une purge automatique à la fin de cette durée de conservation.

L’information des salariés et l’obtention de leur consentement

L’employeur est non seulement tenu d’informer ses salariés et ses candidats sur ce qu’il fait avec leurs données, mais aussi, dans certains cas, d’obtenir leur consentement à l’utilisation de ces dernières. Candidats comme salariés doivent ainsi être informés de l’identité du responsable du fichier, de l’objectif du fichier, des destinataires des informations recueillies et de la possibilité d’exercer leurs droits vis-à-vis de ces informations. Aucune information ne peut être recueillies sans une information préalable, information qui peut être donnée dans le règlement intérieur, leur contrat de travail ou dans des notices d’information disponibles sur l’intranet de l’entreprise ou envoyées par email. Le consentement des personnes concernées doit avoir été recueilli de manière explicite et non équivoque pour certains traitements. Par exemple lors d’évènements organisés par l’entreprise, si des photographies sont prises des salariés, il faut veiller à ce que chacun d’entre eux ait donné son consentement pour l’utilisation et la diffusion des images. Ce consentement peut être recueilli par le biais d’une autorisation écrite ou d’une case à cocher par exemple.

Le respect des droits des salariés sur leurs données

Le RGPD redonne aux personnes la maîtrise de leurs données. Cette maîtrise est bien évidemment aussi ouverte aux salariés qui doivent être en mesure de s’adresser à leur service RH pour exercer leurs droits. Dans la mesure où une réponse doit leur être apportée sous 1 mois, il est dans l’intérêt de tous d’avoir un processus RH adapté. Les droits d’accès et de rectification peuvent par exemple être facilités par un SIRH collaboratif sur lequel le salarié peut avoir accès et rectifier (ou demander à faire rectifier) les données le concernant dans le système. Le droit à l’oubli, consacré par le RGPD et qui permettra au salarié de faire effacer l’ensemble des données collectées (dans la limite des obligations légales), impose à l’employeur de savoir exactement où se trouvent les données en question, d’où l’utilité d’un SIRH global regroupant l’ensemble des données au même endroit. Le droit à la portabilité, autre innovation du RGPD, est à intégrer dans les SIRH et doit permettre au salarié de récupérer sous un format lisible par machine l’ensemble des données qu’il a fourni pour l’exporter dans un autre système.

La sécurisation des dossiers

Savoir où se trouvent précisément les données est une chose, mais être en mesure de définir précisément qui a accès à quelles données est un autre prérequis du RGPD qui peut être couvert par un SIRH. En effet, outre les mesures de sécurité techniques qui doivent être appliquées aux données personnelles des salariés, la problématique de l’accès à ces données confidentielles est très importante. Il arrive souvent qu’au sein d’un service RH, le responsable du recrutement, de la formation du personnel et de la paie se trouvent dans le même bureau, or ces personnes n’ont pas à avoir accès aux mêmes données. Lorsque ces données se trouvent dans des dossiers papiers, les possibilités de restrictions d’accès sont plus réduites que lorsque ces données se trouvent au sein d’un SIRH où elles peuvent être cloisonnées et où les membres du service RH peuvent avoir des accès différents en fonction de leurs rôles et de l’utilisation qu’ils en font.

Plateforme Newext RH

Notre plateforme digitale RH permet, en structurant ces données, de maîtriser précisément où et par qui elles sont utilisées et rend leur destruction ou anonymisation plus simple. L’entreprise se conforme ainsi au RGPD tout en améliorant la productivité et la sécurisation des processus RH.

Elle offre également au salarié comme l’exige le RGPD un accès pour rectifier ou demander la rectification des données le concernant dans le système.

Sources :
https://www.cnil.fr/
https://www2.deloitte.com/fr
https://www-03.ibm.com/
https://www.rhinfo.com
https://www.newext-rh.com/blog

Newext RH, votre partenaire de A à Z
dans la digitalisation de vos processus RH

Simplifions demain !

Envie d’en savoir plus ? Contactez-nous

à lire sur le blog de la digitalisation RH

DRH : comment gérer la complexité du CSE grâce à la digitalisation

10 Déc 2019

La fusion des trois instances représentatives du personnel (délégués du personnel, comité d’entreprise, comité d’hygiène, de sécurité et des conditions de travail) en « comité social et économique » (CSE) a provoqué un vrai chamboulement dans les entreprises. D’autant qu’elle est liée à des modifications profondes de fonctionnement des heures de délégation des représentants du […]

En savoir plus

Révision salariale : comment digitaliser votre processus concrètement ?

29 Nov 2019

Majoritairement gérées sous Excel, les révisions salariales sont des processus complexes qui nécessitent une grande souplesse fonctionnelle. Pour cela, Excel est le roi ! Les gestionnaires ont toute la latitude nécessaire pour développer des fichiers totalement sur mesure. De plus, le tableur se révèle aussi idéal du point de vue des contributeurs (managers, correspondants RH, […]

En savoir plus

La dématérialisation des contrats de travail, pas si anecdotique !

07 Nov 2019

La dématérialisation est une partie non négligeable des stratégies de transformation numérique des entreprises et notamment des DRH. Le cadre légal encourage d’ailleurs cette démarche. La loi El Khomri, modifiée le 1er janvier 2017, organise par exemple la mise en place du bulletin de paie électronique. Cette initiative est très suivie par les directions et […]

En savoir plus