Rechercher
  • C'est Mon DRH

Mettez vos RH à l'heure du RGPD !

Mis à jour : 12 juin 2018


Depuis le 25 mai 2018, vous n'avez pas pu passer au travers, toutes les entreprises, qu’elles soient basées au sein de l’Union Européenne ou non devront être en conformité avec les règles édictées par le Règlement Européen du 27 Avril 2016 relatif à la protection des données personnelles, dès lors qu’elles collectent des données concernant des citoyens européens.

En cas d’infraction ou de non conformité, vous encourez une amende d’un montant variant entre 2 et 4 % de votre chiffre d’affaire annuel.

La gestion des ressources humaines est directement impactée au sein des entreprises dans la mesure où elle génère une collecte, un traitement et un stockage de nombreuses données personnelles sur les salariés à l’occasion de recrutements, embauches, paies, entretiens, etc…

Les entreprises auront donc besoin de systèmes de données plus flexibles pour la gestion de leurs RH.





Les grandes implications du RGPD pour le département RH.


1- Consentement obligatoire


Si une entreprise doit déjà obtenir l’autorisation de ses collaborateurs avant de conserver leurs données depuis plusieurs années, le nouveau règlement introduira la nécessité d’obtenir un consentement « spécifique, éclairé et univoque ». Par conséquent, les consentements actuels des salariés devront probablement être reformulés afin de ne laisser aucun doute sur la nature des données collectées.


L’entreprise devra par ailleurs offrir à ses collaborateurs la possibilité de revenir sur leur consentement à tout moment. Il lui faudra donc un système facilement éditable.

Dans ses contrats d’embauche, les clauses de consentements standard courantes seront peu susceptibles de respecter les nouvelles règles. L’entreprise devra par conséquent très certainement rédiger de nouveaux contrats pour ses collaborateurs.


2- Durée de conservation des données


En vertu du RGPD, les entreprises ne pourront conserver des données que tant qu’elles en auront besoin. Prenons par exemple les données des travailleurs temporaires. Elles ne seront probablement nécessaires que pour une courte durée. Passé cette période, l’entreprise ne pourra plus les stocker, à moins d’avoir recueilli le consentement des intéressés, comme mentionné plus haut.

Celle-ci risque également de devoir remplacer son système de gestion des ressources humaines. Par exemple, si le système actuel ne permet pas de récupérer et de supprimer définitivement des données dont l’entreprise n’a plus besoin, il vous faudra peut-être migrer vers un système conforme au RGPD, spécialement conçu pour conserver et contrôler toutes les données RH de façon centralisée.


3- Finalité stricte du traitement des données


Notons également que le RGPD limitera l’utilisation que font les départements RH des données personnelles des salariés. Plus précisément, les entreprises devront informer leurs collaborateurs de l’utilisation qui sera faite de leurs données et ne pourront pas les utiliser à d’autres fins. Selon certains, une telle règle pourra perturber le fonctionnement d’entreprises qui font appel à de nombreux professionnels indépendants, en les empêchant de stocker leurs donner personnelles sans leur permission.

D’autre part, elles risquent de devoir contacter un grand nombre de personnes avec lesquelles elles ont collaboré pour recueillir leur consentement en vue de pouvoir utiliser leurs données à l’avenir.


4- Notification des violations de données


Le RGPD contraindra les entreprises à notifier toute personne concernée par une violation de données dans les 72h suivant sa découverte.


5- Vérification des casiers judiciaires


Si le RGPD ne s’oppose pas à la vérification des antécédents judiciaires pour l’accès à certaines fonctions dites sensibles, le nouveau règlement n’autorisera pas la conduite de vérifications systématiques des casiers de tous les salariés. Même l’obtention d’un consentement ne pourra certainement pas rendre cette procédure légale.


6- Chiffrement des données


Toutes les données collectées par un département RH devront faire l’objet de mesures de sécurité afin de maintenir la conformité de l’entreprise au RGPD. Tout type de données sensibles à caractère personnel devra être traité avec précaution. Or, l’un des moyens de protection les plus efficaces reste le chiffrement des données.

Pour renforcer sa protection, l’entreprise peut également recourir à l’authentification forte et au contrôle des accès. En effet, en limitant le nombre de personnes ayant accès à certaines informations (sur la base des besoins de chacun), elle peut réduire les risques de perte de données et de piratage.



Recommandations d’actions pour mettre votre service RH en conformité avec le RGPD


1- Cartographier le traitement des données


a) Identifier les finalités de traitement des données salariés :

En cas de contrôle, toute entité doit être en mesure de justifier la finalité du traitement de données de ses salariés. Oure la finalité principale de gestion du personnel, il convient également de déterminer les finalités annexes : par exemple, la gestion de la paie, du remboursement des frais professionnels, des accès aux outils et au réseau informatiques, l’administration du personnel (évaluations, formation professionnelle, …), la gestion des contentieux salariés.


b) Identifier les fondements juridiques du traitement des données salariés

La collecte et le traitement de données personnelles ne sont licites que si un des fondements juridiques prévus par le Règlement justifie le traitement. En ce qui concerne les données de salariés, les employeurs se baser sur :

- l’exécution d’un contrat ( en l’espèce, le contrat de travail)

- le respect d’une obligation légale ( obligations sociales et fiscales de l’employeur)

- les intérêts légitimes poursuivis par l’employeur (par exemple, sécuriser la gestion des ressources humaines, de la paie et du réseau informatique), sous réserve de ne pas contrevenir aux intérêts, libertés et droits fondamentaux des salariés.


c) Déterminer la durée de conservation des données des salariés

L’employeur doit fournir un certain nombre d’informations aux salariés sur le traitement de leurs données, dont la durée de conservation de données personnelles. Il s’agit d’une nouveauté. Le RGPD impose que la durée de conservation des données soit limitée au minimum nécessaire à la finalité de traitement de données, durée pouvant être rallongée si cela est nécessaire à l’exercice ou à la défense de droits en justice. Ainsi, il est conseillé à l’employeur de prévoir une durée de conservation des données des salariés de 5 ans après la fin de leur contrat de travail ( sauf en cas de contentieux initié durant cette période), afin de couvrir les différentes périodes de prescription relatives aux contentieux salariés.


d) Identifier les destinataires internes et externes des données des salariés

Les données des salariés sont-elles transférées à d’autres sociétés du groupe ? A des prestataires externes (paie, services IT, …) ? Hors UE ? Dans ce cas, l’employeur doit mettre en place les mesures de protection pour couvrir ce transfert hors UE (clauses contractuelles types conclues avec le destinataire hors UE par exemple)



2- Mettre en place et tenir un registre des traitements RH


Il s’agit là d’une obligation incontournable qui consiste à créer et maintenir un registre de toutes les activités de traitement impliquant des données personnelles. pour chaque traitement, le registre doit contenir la finalité du traitement, les catégories de données personnelles traitées, les acteurs qui traitent ces données….


Un modèle est à votre disposition sur le site de la CNIL


3- S’assurer que vos éventuels prestataires RH vous offrent toutes les garanties de conformité au RGPD


Qu’il s’agisse d’un prestataire de paie, d’une solution des gestion des temps ou de gestion des talents, votre prestataire et/ou la solution qu’il vous propose respecte-t-il la sécurité et la confidentialité des données que vous leur confiez ? Sont-ils en mesure de les rectifier, les supprimer ou vous les restituer dans les délais ? Les données sont-elles transférées en dehors de l’Union Européenne ? et si oui dans quelles conditions ?


Il est impératif de choisir un prestataire fiable et offrant les meilleures garanties en matière de protection et de confidentialité de vos données.



4- Nettoyer vos archives papier et informatiques et passer au digital


Le RGPD renforce la protection des données personnelles numériques et physiques.


C’est le moment opportun de nettoyer vos archives, les mails et les autres données personnelles qui existent dans votre entreprise au format physique ou informatique et qui n’auraient plus d’utilité : évaluations de vos collaborateurs, entretiens d’objectifs, dossiers de formations de vos salariés, feuilles de temps, etc…


Dans ce domaine selon la CNIL, une règle impérative doit vous guider: « une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de conserver les données et elles doivent être supprimées. » A condition néanmoins de tenir compte des éventuelles obligations légales de conservation de certaines données.


5- Informer et former vos collaborateurs et managers


La transparence est essentielle dans le cadre du RGPD, d’où la nécessité d’informer clairement vos collaborateurs : quelles sont les données personnelles utilisées, dans quel but, et pendant combien de temps elles seront conservées … ?


Pour cela, les employeurs doivent veiller à mettre à jour les notes d’informations à destination des salariés, les informant de la finalité, du fondement juridique du traitement de leurs données, des destinataires de ces données, de la durée de conservation, de leurs droits ( accès, rectification, oubli)* et des coordonnées des personnes à contacter concernant leurs données. Cette note devra être remise au plus tard lors de l’entrée en vigueur du RGPD le 25 mai prochain, par exemple avec les bulletins de salaire ou par courriel.


Les données des salariés sont sujettes, comme tout autre type de données personnelles, aux droits d’accès, de rectification et « droit à l’oubli » des titulaires de ces données.

Concernant le droit à l’oubli d’un ancien salarié cependant, l’employeur peut refuser d’y faire droit si les périodes de prescritption relatives aux contentieux salariés ne sont pas encore écoulées par exemple.


6- Répondre aux sollicitations des salariés en matière de droits d’accès, rectification des données et droit à l’oubli


Ces différents droits existaient avant le RGPD et seront renforcés à partir du 25 mai 2018. Par exemple, le RGPD raccourcit les délais de réponse à la sollicitation d’un salarié : l’entreprise dispose désormais de 1 mois (2 mois en cas de demandes complexes) pour y répondre.


7- Evaluer la nécessité de procéder à des analyses d’impact relatives à la protection des données (AIPD)


Les salariés pouvant être considérés comme des personnes « vulnérables » en termes de protection des données personnelles, une étude d’impact ou AIPD pourra être nécessaire avant de mettre en place un traitement si celui-ci est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, notamment s’il entraîne une prise de décision automatisée, une surveillance systématique des salariés ou encore si les données traitées sont sensibles ou hautement personnelles.


La CNIL met à disposition sur son site internet un outil , le PIA, qui vous permettra d’effectuer cette analyse.


Sources : RHinfo, Les Echos, DAF-mag

64 vues