25 mai 2018 : entrée en vigueur officielle du RGPD

Le RGPD n’est pas simplement un projet ponctuel par rapport à une date d’obligation, mais un chantier qui doit être mené en continu car la conformité n’est pas une obligation ponctuelle.

Rappelons que l’interprétation du nouveau règlement en vue de son application est toujours en cours, et que notamment des travaux sont menés par les contrôleurs européens (autorités de contrôle dans les différents pays), pour aider les employeurs dans l’application de ce nouveau texte.

Le RGPD n’est pas simplement un projet ponctuel par rapport à une date d’obligation, mais un chantier qui doit être mené en continu car la conformité n’est pas une obligation ponctuelle. Il faut inscrire le RGPD dans un principe de nécessité et de proportionnalité de l’usage des informations au regard des finalités de traitements RH. Pour cela, la fonction RH doit se mobiliser autour de 3 grandes familles de chantiers pour l’employeur : ceux qui concernent les devoirs des employeurs, ceux qui concernent les droits des citoyens et ceux qui concernent la gestion des risques pour les Données Personnelles.

Les devoirs des employeurs

Les devoirs des employeurs sont organisés autour de 2 axes.

  • Axe 1 : l’organisation à mettre en place par l’entreprise
  • Désigner un délégué à la protection des données, ou ‘Data Protection Officer’ (DPO)
  • Mettre en place des processus internes
  • Documenter l’usage des données pour prouver la conformité dans un ‘Registre des traitements’ pour les responsables de traitement et pour les sous-traitants
  • Vérifier l’usage des données : légitimité, finalité
  • Vérifier l’intégration de la logique de ‘privacy’ dans le traitement des données : ‘privacy by design’ (un nouveau traitement doit être mis en place avec des mesures techniques et organisationnelles appropriées dès sa conception) & ‘privacy by default‘ (par défaut, seules les données personnelles nécessaires à chaque traitement doivent être traitées).
  • Axe 2 : les actions de communication auprès des collaborateurs
  • Informer et former les collaborateurs, qu’ils soient salariés ou non-salariés (personnels temporaires, travailleurs indépendants, freelances, prestataires en mission) sur les nouveautés du RGPD
  • Communiquer sur la démarche à suivre pour la demande d’accès aux données individuelles, puisque tout collaborateur pourra dorénavant demander à y accéder et obtenir une réponse sous un mois

Sopra HR a fourni à ses clients une analyse des modèles de données RH, avec un guide expliquant la démarche adoptée et les hypothèses prises selon 2 questionnements :

  • Quelle est la catégorie des données qui sont présentes dans les systèmes d’information RH ?
  • Quelle est la finalité des données : à quoi servent ces données ?
  • Zoom sur les catégories des données 

Il faut tout d’abord écarter toutes les données qui ne sont pas des données personnelles, comme les référentiels d’organisation, d’emplois et de postes… Il faut écarter également tout ce qui peut être lié à la description des processus, comme les processus de recrutement, les demandes de recrutement, et la gestion des plans de formation, qui ne manipulent aucune donnée personnelle. Il faut enfin écarter les règles de gestion, le paramétrage de paie et les données techniques.

Il reste alors les données personnelles des collaborateurs et des candidats, dans le module recrutement, qui sont à classifier selon 4 catégories :

  • La 1ère catégorie concerne toutes les données qui sont justifiées par rapport à la présence d’un contrat de travail entre le collaborateur et l’employeur et, par déclinaison, qui respectent toutes les obligations légales qui en découlent. Ces données, qui sont jugées ‘licites’, représentent la très grande majorité des données utilisées dans le SIRH et les traitements, soit plus de 97%(*).
  • La 2ème catégorie concerne l’identification de données personnelles dites ‘sensibles’ et non nécessaire dans le SIRH qu’il faut supprimer. Il faut affiner pour avoir une appréciation de la donnée personnelle, au regard des obligations qui peuvent être différentes selon le pays d’Europe. C’est le cas par exemple de la religion, qui est obligatoire en Allemagne et non obligatoire, voire interdite dans d’autres pays. Donc en fonction des pays, il va falloir retirer ces données des SIRH. Il s’agit quelques données personnelles uniquement.
  • La 3ème catégorie comprend les données personnelles dites ‘sensibles’, qui vont nécessiter le recueil du consentement du collaborateur. Dans nos progiciels seule la photo est concernée. Son usage va donc nécessiter le recueil du consentement des collaborateurs ; c’est le droit à l’image qui existait déjà auparavant.
  • La 4ème catégorie comprend les données personnelles sur lesquelles une décision est à prendre, car Sopra HR ne peut pas trancher par défaut, car l’usage peut dépendre du secteur d’activité ou du contexte de l’entreprise. Elles sont identifiées en tant que telles pour indiquer aux clients qu’ils doivent être vigilant sur ces thématiques. Environ 2%(*) des données sont dans cette dernière catégorie.

(*) Ces chiffres présentent un ordre de grandeur estimé par Sopra HR sur la base de solutions standards et internationales

Un dernier point concerne les zones de texte libre du SIRH. Dorénavant, le gestionnaire RH ou le manager devra faire attention à la façon dont il rédige des textes ou commentaires pour respecter le nouveau RGPD, en ayant en tête que ces textes peuvent être lus par les collaborateurs ou les candidats et pourraient être communiqués à l’Autorité de Contrôle en cas d’audit sur le site. Sopra HR fournit à ses clients des exemples de modèles de recommandations concernant l’usage des zones libres du SIRH.

  • Zoom sur les finalités des données 

Pour aider les Responsables de Traitements dans l’élaboration des registres des traitements, nous avons analysé et classé l’ensemble des données au regard de 4 finalités de traitement. Nous avons indiqué la finalité qui semble la plus importante, sachant qu’une même donnée peut parfois participer à plusieurs finalités. Quatre types de finalités ont été définies, après des premiers travaux avec l’autorité de contrôle en France c’est-à-dire la CNIL, mais attention il peut y avoir des évolutions.

  • La paie et le déclaratif, qui inclue aussi la gestion administrative, la gestion du contrat et des affectations
  • La gestion des talents, des carrières, le développement des collaborateurs, les évaluations
  • Les déplacements et les notes de frais liées.
  • Les absences et la gestion des temps et des activités.

Les droits des citoyens

En terme de droits des citoyens, les 5 droits suivants concernent plus particulièrement le SIRH :

  1. Droit d’information
  2. Droit d’accès
  3. Droit à l’effacement
  4. Droit de rectification
  5. Droit à la portabilité

Selon les contextes des clients, Sopra HR préconise de revoir ou renforcer ces droits, notamment sur tous les aspects gestion de la confidentialité et de gestion de la sécurité. La mise en conformité au RGPD nécessite de vérifier si les autorisations d’accès aux solutions sont bien pertinentes.

Le SIRH doit dorénavant pouvoir gérer le droit à l’information, et le recueil du consentement. Il est nécessaire de disposer d’une ‘structure d’accueil’ qui permet d’identifier quand l’entreprise a fait une information sur le RGPD. Il peut s’agir d’informations générales pour la compréhension du RGPD, ou d’informations plus spécifiques évoquant la façon dont le RGPD est pris en compte dans l’entreprise. Il faut en particulier préciser à chaque collaborateur quelles démarches il peut entreprendre et quels sont les contacts auxquels s’adresser pour exercer ses différents droits dont le droit d’accès à ses données, le droit à l’effacement, le droit à la rectification et le droit à la portabilité.

De plus, il faut recueillir le fait que les collaborateurs ont bien pris connaissance de cette communication. Et cette information devra le cas échéant être revue en fonction des changements dans l’organisation ou par exemple lorsqu’un collaborateur est muté dans une autre filiale. Il faut à nouveau lui communiquer des informations sur le sujet RGPD, parce que les personnes à contacter pour exercer ses droits d’accès sont peut-être différentes dans la nouvelle organisation. Toutes ces communications doivent être tracées.

En terme de recueil du consentement, il faut lister l’ensemble des données pour lesquelles l’entreprise doit recueillir le consentement des collaborateurs et aussi la possibilité de noter quand le collaborateur a donné son consentement, sachant que le collaborateur peut refuser de le donner et qu’il peut revenir sur son choix, ce qui devra également être géré.

En termes de demande d’accès par un collaborateur aux données personnelles le concernant, le SIRH doit prévoir une procédure d’extraction. Les résultats peuvent être disponibles dans différents formats et répondre aussi au droit de portabilité, quand le collaborateur demande ses données pour les transférer à un autre responsable de traitement. Dans ce cas il s’agit uniquement des données qu’il a transmises.

La gestion des risques pour les données personnelles

Un dernier chantier concerne la gestion des risques qui peuvent être engendrés par les traitements sur les données personnelles.

Les risques élevés doivent être traités et analysés de façon prioritaire. L’analyse de catégorisation des données personnelles et leur finalité va aider à définir ces registres des traitements, à bien identifier les risques et à mettre en place les actions adaptées pour diminuer les risques. Toutes ces informations qui pourront être communiquées à l’autorité de contrôle, en cas d’audit.

Dans le cadre de la gestion des risques, il est possible d’agir aussi sur la protection des données de façon physique en mettant en place un certain nombre de dispositifs, comme le cryptage des données ou l’anonymisation des données.

D’autres outils concernent la possibilité de gérer de façon plus détaillée les accès à privilège comme ceux des administrateurs de bases de données. L’objectif est de pouvoir séparer la gestion du contenant de la base de données, de son contenu c’est-à-dire des valeurs stockées dans les bases. Ces outils peuvent aider à diminuer les risques en évitant les accès non autorisés, et également, en cas de vol, en évitant que les données puissent être facilement exploitables.

En conclusion

Le projet de mise en conformité est un projet de longue haleine. L’application précise de ce nouveau règlement est encore en cours d’interprétation et par conséquent, il est important que les employeurs soient à l’écoute des communications de l’autorité de contrôles de leur pays. Ils pourront disposer ainsi des éléments permettant de faciliter l’application dans leur entreprise.

Sopra HR, de part sa position sur le marché européen et ses différentes activités dans le domaine de la gestion des Ressources Humaines et de la paie, est impliqué dans les travaux menés par les autorités de contrôle, et peut aider les employeurs de la sphère privée ou publique à mettre en œuvre les actions nécessaires à la mise en conformité.