RH et RGPD : le traitement des données de vos salariés est-il conforme ?

Entré en application le 25 mai 2018, le Règlement général sur la protection des données (RGPD) bouleverse le traitement des données à caractère personnel en entreprise.

Vous vous êtes sûrement soucié de votre conformité avec cette nouvelle réglementation vis-à-vis de vos clients et de votre cœur d’activité ?

Et en interne, avez-vous pensé à examiner le traitement des données personnelles de vos salariés ?

En tant que point névralgique de collecte des données du personnel, le volet RH est particulièrement concerné par le RGPD.

Profitons de cet article pour présenter le RGPD, se remémorer les enjeux et dresser l’inventaire des questions à se poser afin d’examiner vos pratiques RH au regard de cette norme.

Sommaire de l'article

Quelques rappels sur le RGPD

Qu’est-ce que le RGPD ?

Le RGPD est un texte qui rénove le cadre législatif visant à assurer un même niveau de protection des données personnelles au sein de l’Union Européenne.

Ce dernier a été incorporé au droit français par l’adaptation de la Loi Informatique et Libertés de 1978, qui connait un second souffle 40 ans après sa parution initiale.

Qu’est-ce qu’une donnée à caractère personnel ?

Une donnée à caractère personnel se définit comme toute information se rapportant à une personne physique identifiée ou identifiable.

Le RGPD modifie substantiellement l’approche vis-à-vis de la protection des données en érigeant un principe de responsabilité.

Ainsi, toute structure privée ou publique (peu importe la taille et le secteur d’activité), qui collecte et/ou traite les données personnelles de ses salariés doit notamment :

  • tenir un registre des traitements des données,
  • veiller à la protection des données et démontrer leur protection effective,
  • permettre l’accès aux données « papiers » et numérisées.

Comme auparavant, la Commission nationale de l’informatique et des libertés (CNIL) est en charge de veiller à la protection des données.

A noter que les manquements au RGPD peuvent être plus lourdement sanctionnés qu’auparavant : une amende peut être portée jusqu’à 4% du CA mondial.

Ressources Humaines et RGPD

Pour quels motifs pouvez-vous collecter les données personnelles des salariés ?

Afin d’éviter toute dérive, le RGPD a identifié 6 cas légaux de collecte :

  • lien avec l’exécution du contrat de travail (déclaration d’embauche, transmission du n° de sécurité sociale aux organismes sociaux, etc.),
  • une obligation légale (ex : registre unique du personnel),
  • l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique (application du prélèvement à la source pour l’administration fiscale),
  • la sauvegarde des intérêts vitaux d’une personne (ex : constitution d’un fichier avec les coordonnées du personnel en raison du Covid 19),
  • la poursuite d’un intérêt légitime (ex : prévenir une fraude),
  • si la personne a donné son consentement. En raison du lien de subordination liant le collaborateur à l’entreprise, on s’interrogera sur sa capacité de donner un consentement éclairé. Ce dernier cas est donc à employer avec prudence.

Vous l’aurez compris, les données collectées doivent être strictement nécessaires et proportionnées au regard de l’objet du traitement.

Le registre des traitements de données personnelles, premier pas du diagnostic RGPD

Mettre en place ce type de registre permettra de recenser :

  • les moments au cours desquels les données des salariés sont collectées et traitées,
  • comment (où, par quels biais) et quelles données sont traitées et collectées,
  • la finalité des traitements,
  • les lieux et la durée du stockage ainsi que les sécurités existantes.

Une fois cette cartographie établie, vous pourrez aisément la comparer aux motifs de cas autorisés de traitement des données ci-dessus, faire le tri des données nécessaires ou superflues et identifier les éventuels points problématiques (faille de sécurité, domaines où il sera nécessaire de recueillir des consentements, etc.).

NB : la Cnil met à disposition un modèle de registre sur son site internet que nous recommandons vivement.

Volet RH : quelques questions complémentaires à se poser

L’ensemble du domaine RH est par essence « sensible » au regard du RGPD.

Certains points méritent tout de même votre attention particulière :

  • Recrutement : De quelles données avez-vous réellement besoin pour recruter ? Où les stockez-vous ? Au bout de combien de temps effacez-vous les données des candidats éconduits ? Comment pouvez-vous recueillir le consentement du candidat ?
  • Gestion administrative du personnel et Paie : Les données sont-elles stockées au même endroit ? Combien de temps les gardez-vous ? Tout le personnel RH a-t-il un libre accès à ces données ? Si oui, est ce pertinent au regard des périmètres d’action ? Si des tableurs Excel à visée RH sont tenus, quel type d’appréciation sont insérées dans les cases « commentaires » ? Si les commentaires sont libres, veillez-vous à la teneur des propos ?
  • Information des salariés : Avez-vous mis en place des fiches récapitulatives informant les salariés des traitements de données les concernant ? Si vous avez un CSE dans l’entreprise, pensez-vous à les consulter avant mise en place de tout nouveau traitement de données ?
  • Sécurité : De quels moyens disposez-vous pour sécuriser les data personnelles et financières ? (Cryptage, mot de passe sur Excel ?) Qui peut accéder aux données et par quel biais ?
  • Sous-traitants et co-contractants : Vos partenaires (experts comptables, recruteurs, etc.) respectent-ils leurs obligations à l’égard du RGPD ? Des avenants aux contrats initiaux vous ont-ils été envoyés depuis l’entrée en vigueur du RGPD ?
  • SIRH : Si vous êtes doté d’un SIRH qui externalise les données, savez vous dans quel pays et comment sont sécurisées les données ? (Si hors Europe = non-conformité RGPD probable)

Ces quelques questions sont destinées à vous aider à cerner les principaux impacts RH, poser un premier diagnostic de conformité et interroger les autres parties prenantes.

NB : la CNIL propose une boîte à outils pour de gérer sa conformité et y voir plus clair !

Respecter le droit des salariés : consultation, rectification ou suppression des données

Que l’entreprise soit en bons termes ou pas avec ses candidats, anciens et actuels collaborateurs, ceux-ci ont le droit d’accéder aux données les concernant et peuvent en demander la rectification comme la suppression (une fois leur sortie effective).

D’où l’intérêt de savoir où sont stockées les données pour répondre dans le temps imparti d’un mois. Il est à parier que les contentieux seront nombreux !

Pour conclure

Le questionnement autour des « datas » ne fait que commencer. Les interrogations grandiront à mesure de la digitalisation croissante des données RH…qui est le reflet de la numérisation de notre société.

Si c’est un vrai défi, c’est aussi l’opportunité de communiquer de façon transparente avec les salariés et l’occasion sensibiliser par ce biais au bon usage des technologies/datas dans l’entreprise…

Afin d’adopter de bons réflexes, vous pouvez suivre l’Atelier RGPD de la CNIL. Il s’agit de 4 modules gratuits avec certification à la clef. Pour aller plus loin, nous sommes disposés à vous accompagner dans la gestion du volet RH du RGPD et à réfléchir avec vous à l’optimisation de de votre gestion RH, n’hésitez pas à nous contacter.

Partager
Poursuivez votre lecture :
Vous partagez notre passion des RH ? Abonnez-vous !