Le Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR), applicable à partir du 25 mai 2018, fait couler beaucoup d’encre. Les entreprises, associations, administrations, collectivités territoriales sont toutes sommées de se mettre en conformité avant cette date fatidique.
Dans le cadre de cette mise en conformité, l’accent est bien souvent mis sur les données des clients, administrés, patients, fournisseurs mais qu’en est-il de celles de leurs propres employés ? Si le RGPD est, entre autres, une réponse à la perte de confiance des citoyens dans la gestion de leurs données personnelles, il est tout aussi important de soulever que la majorité de ces citoyens ont un employeur, lui aussi chargé de préserver leurs données personnelles.
Si les récents scandales comme ceux de Ashley Madison (site de rencontres extra-conjugales dont des millions de membres ont vu leur données divulguées) ou Uber (dont les données de 50 millions de clients et 7 millions de chauffeurs ont été volées) concernent les données personnelles du public, l’on peut aussi mentionner le scandale qui a frappé le magasin d’ameublement Ikea, accusé de mettre en œuvre des pratiques d’espionnage à l’égard de ses employés qui, alors même qu’il s’agissait de données RH, a eu un impact client.
Le RGPD a donc aussi un réel impact sur les données des salariés, d’autant plus que la territorialité particulière de cette législation rend la question encore plus problématique. En effet, à partir du moment où les personnes concernées sont établies dans l’Union Européenne, cette régulation s’applique. Il est donc important de prendre cette modalité en compte notamment pour les entreprises hors UE qui peuvent disposer de salariés frontaliers résidant en France par exemple. Dans ce cas de figure, que des pays comme la Suisse ont bien compris, il est judicieux de s’aligner sur les exigences de la règlementation européenne, ce qui passe par l’utilisation de SIRH adaptés.
Les données personnelles concernant les salariés sont souvent bien plus « personnelles » que celles communiquées au quotidien. Ces dernières peuvent aussi bien porter sur leur rémunération, leur entourage familial, les comptes rendus de leurs évaluations annuelles, mais aussi sur des données considérées comme « sensibles » relatives à l’état de santé du salarié, à son appartenance syndicale, et par conséquent son orientation politique, à ses enfants et évènements familiaux et bientôt ses informations fiscales.
Le traitement des données RH ne doit donc pas être pris à la légère et intervient dans toute la vie du salarié : lors de son recrutement, de sa prise de poste, de la gestion de sa paie, de ses absences et vacances, dans la gestion de sa performance et lors de son départ.
Disposer d’un SIRH performant et évolutif est une solution toute trouvée pour permettre de respecter les principes de protection des données dans les ressources humaines et ainsi être en conformité avec le RGPD, ce qui n’est pas le cas pour la plupart des SIRH qui y sont aujourd’hui non conformes. Un SIRH tel que celui d’Adequasys permet ainsi de situer les données des collaborateurs, gérer les droits d’accès et de modification, appliquer concrètement le droit à l’effacement, assurer le suivi de toutes les modifications sur les données personnelles, tracer les échanges de données, automatiser la gestion et les échanges de ces données pour en assurer une sécurité optimale et produire des rapports en cas d’audit.
Nous dispensons des formations spécifiques animées par nos DPO.
Vous pouvez retrouver le programme de formation et le formulaire d’inscription juste en dessous.
Nous allons voir ici 5 bonnes pratiques pour être en conformité, souvent facilitées par un SIRH performant, adapté et configuré de telle sorte que les principes de protection des données imposés par le RGPD soient respectés.
Si l’employeur est amené à stocker un nombre important de données à caractère personnel, il ne doit recueillir que celles nécessaires à l’objectif pour lequel il traite ces données. Lors du recrutement, seules les données nécessaires pour évaluer la capacité du candidat à occuper le poste en question doivent être recueillies. Il est par exemple interdit de demander au candidat son numéro de sécurité sociale, son appartenance syndicale ou l’emploi occupé par son conjoint. Ces données ne sont ni pertinentes, ni nécessaires à ce stade du recrutement. Ce n’est que lors de l’embauche du salarié que l’employeur peut collecter des informations complémentaires nécessaires aux différentes obligations légales lui incombant et notamment le numéro de sécurité sociale, nécessaire aux déclarations sociales obligatoires. En fonction de la sensibilité de l’emploi en question, l’employeur peut aussi être amené à demander un extrait de casier judiciaire pour s’assurer de la bonne moralité du salarié. Cet extrait de casier judiciaire ne doit en aucun cas être conservé par l’employeur : seule l’indication de la fourniture de ce dernier, sans le résultat même de cette consultation, peut être notée.
Les données des salariés ne doivent pas être conservées plus longtemps que cela est nécessaire à l’exécution de leur contrat de travail, aux obligations légales ou à la raison pour laquelle elles ont été collectées à l’origine. Ce principe vaut tout autant pour les données relatives à un candidat non retenu à l’embauche, dont les données doivent être détruites 2 ans après le dernier contact, que pour les données relatives à la paie, qui doivent être détruites au bout de 5 ans. La multitude d’applications RH (gestion des temps, SIRH, paie, etc.), en plus des dossiers papiers, rend la suppression ou la purge des données difficiles. Purger les données d’un fichier Excel reprenant l’historique des formations du salarié ou l’historique des visites médicales peut être très contraignant : d’où l’avantage d’utiliser un seul et même logiciel dans lequel on peut définir des durées de conservation précises et une purge automatique à la fin de cette durée de conservation. Passer d’un système papier à un système informatique permet de savoir précisément où sont les données et rend ainsi leur destruction, ou anonymisation, plus simple.
L’employeur est non seulement tenu d’informer ses salariés et ses candidats sur ce qu’il fait avec leurs données, mais aussi, dans certains cas, d’obtenir leur consentement à l’utilisation de ces dernières. Candidats comme salariés doivent ainsi être informés de l’identité du responsable du fichier, de l’objectif du fichier, des destinataires des informations recueillies et de la possibilité d’exercer leurs droits vis-à-vis de ces informations. Aucune information ne peut être recueillies sans une information préalable, information qui peut être donnée dans le règlement intérieur, leur contrat de travail ou dans des notices d’information disponibles sur l’intranet de l’entreprise ou envoyées par email. Le consentement des personnes concernées doit avoir été recueilli de manière explicite et non équivoque pour certains traitements. Par exemple lors d’évènements organisés par l’entreprise, si des photographies sont prises des salariés, il faut veiller à ce que chacun d’entre eux ait donné son consentement pour l’utilisation et la diffusion des images. Ce consentement peut être recueilli par le biais d’une autorisation écrite ou d’une case à cocher par exemple.
Le RGPD insiste fortement sur les droits de la personne concernée afin de redonner aux citoyens la maîtrise sur leurs données. Cette maîtrise est bien évidemment aussi ouverte aux salariés qui doivent être en mesure de s’adresser à leur service RH pour exercer leurs droits. Dans la mesure où une réponse doit leur être apportée sous 1 mois, il est dans l’intérêt de tous d’avoir un processus RH adapté. Les droits d’accès et de rectification peuvent par exemple être facilités par un SIRH collaboratif sur lequel le salarié peut avoir accès et rectifier (ou demander à faire rectifier) les données le concernant dans le système. Le droit à l’oubli, consacré par le RGPD et qui permettra au salarié de faire effacer l’ensemble des données collectées (dans la limite des obligations légales), impose à l’employeur de savoir exactement où se trouvent les données en question, d’où l’utilité d’un SIRH global regroupant l’ensemble des données au même endroit. Le droit à la portabilité, autre innovation du RGPD, est à intégrer dans les SIRH et doit permettre au salarié de récupérer sous un format lisible par machine l’ensemble des données qu’il a fourni pour l’exporter dans un autre système.
Savoir où se trouvent précisément les données est une chose, mais être en mesure de définir précisément qui a accès à quelles données est un autre prérequis du RGPD qui peut être couvert par un SIRH. En effet, outre les mesures de sécurité techniques qui doivent être appliquées aux données personnelles des salariés, la problématique de l’accès à ces données confidentielles est très importante. Il arrive souvent qu’au sein d’un service RH, le responsable du recrutement, de la formation du personnel et de la paie se trouvent dans le même bureau, or ces personnes n’ont pas à avoir accès aux mêmes données. Lorsque ces données se trouvent dans des dossiers papiers, les possibilités de restrictions d’accès sont plus réduites que lorsque ces données se trouvent au sein d’un SIRH où elles peuvent être cloisonnées et où les membres du service RH peuvent avoir des accès différents en fonction de leurs rôles et de l’utilisation qu’ils en font.Si le RGPD, et les changements qu’il soulève, commencent à être connus, lorsque l’on demande aux départements RH ce qu’ils ont mis en place la réponse est souvent la même : « c’est mon département juridique qui va s’en occuper ». La réalité est tout autre : cette règlementation impose une implication globale de tous les acteurs de l’entreprise et demande au minimum de repenser les processus et la façon dont les services vont fonctionner, y compris le service RH. Après tout, Rome ne s’est pas construite en un jour…?
Télécharger notre Livre Blanc sur « Les outils RGPD, comment s’y retrouver ? » pour vous aider à y voir plus clair et trouver l’outil qui vous convient le mieux.