Les impacts du RGPD sur les RH

RGPD : les étapes pour se mettre en conformité

Dans un monde ouvert et de plus en connecté, la donnée est partout. On la trouve sur le cloud public, privé, privatif. Elle passe par les réseaux locaux, sociaux, privés, professionnels. Elle s’échange entre applications, services, ‘devices’ et objets connectés. Elle s’accumule dans des gisements de Big Data. Précieuse, elle se vend et attise les convoitises. Elle estle nouvel or noir’. La donnée personnelle est de plus en plus accessible par l’entreprise et les données professionnelles sont de plus en plus exposées aux cybermenaces. Dans ce contexte, la nécessité d’un renforcement du cadre règlementaire s’est rapidement imposée.

Le Règlement Général sur la Protection des Données (RGPD), qui entrera en vigueur le 25 mai 2018 vise à harmoniser et à renforcer au niveau de l’Union Européenne la réglementation sur la protection des données personnelles au sein des entreprises et organisations. Il s’agit de la plus importante réforme de la législation européenne en matière de protection des données personnelles de ces vingt dernières années. Cette réforme impacte toutes les fonctions de l’entreprise et, en particulier, les Directions des Ressources Humaines. Même si dans les organisations ce projet est piloté par une autre direction que la DRH, celle-ci est directement concernée par les processus et solutions autour des données RH personnelles.

La Direction des Ressources Humaines collecte, traite et stocke des volumes importants de données à caractère personnel ou sensible dans le cadre de ses processus RH. Cela commence dès le recrutement de candidats et se poursuit tout au long de la vie des collaborateurs de la base RH, salariés et non-salariés (N.B. main d’œuvre étendue aux personnels temporaires, travailleurs indépendants, free-lance, prestataires en mission…). Les traitements appliqués à ces données sont nombreux : consultation, modification, diffusion, reporting… Les supports sont variés : logiciels, fichiers, supports papier….

 

Schéma cycle des données

Schéma cycle des données

De nouveaux droits et une plus grande transparence

Au-delà des droits d’accès ou de rectification déjà existants, ce nouveau règlement impose de mettre à disposition une information claire, intelligible et aisément accessible sur les traitements de données aux personnes concernées, non seulement au moment de la collecte de leurs données, mais aussi plus tard, pour faire valoir leurs droits. Ainsi, toute donnée concernant un collaborateur, conservée par l’entreprise, doit être justifiée. En conséquence, seules les données strictement nécessaires aux traitements peuvent être collectées et utilisées. Pour l’utilisation de certaines données, un consentement préalable explicite du salarié est indispensable (la photo, par exemple…) et cette permission n’est pas définitive. Les collaborateurs ont le droit de la retirer.

Dans tous les cas, ce sera à l’entreprise de prouver qu’elle a obtenu le consentement du collaborateur. Cette exigence de transparence accrue impose également qu’en cas de piratage, le salarié soit informé dans un délai de 72h de la violation des données le concernant.

Parmi les nouveaux droits, les personnes disposent désormais d’un droit à « l’effacement », dit aussi droit « à l’oubli » lorsque les données ne sont plus nécessaires pour un traitement ou lorsque la personne a retiré son consentement au traitement. Par exemple, les données des candidats non retenus devront être supprimées rapidement, sauf si le candidat a donné son consentement de manière explicite. Par ailleurs, les données des collaborateurs qui ont quitté l’entreprise ne pourront être conservées que sur une durée limitée.

Un autre droit, le droit à la « portabilité », renforce la maîtrise des personnes sur leurs données personnelles. Ainsi elles doivent désormais pouvoir récupérer les données qu’elles ont fournies, sous une forme facilement réutilisable, pour utilisation personnelle ou transmission à un tiers.

Le nouveau règlement encadre également les traitements de « profilage ». Il faudra désormais que l’entreprise effectue une analyse d’impact relative à la protection des données, dès lors que des activités de profilage sont mises en œuvre.

Les principaux chantiers des RH pour se mettre en conformité RGPD

Pour être conforme au RGPD, la Direction des Ressources Humaines devra non seulement identifier et localiser les données personnelles des collaborateurs (salariés et non-salariés) et des candidats, les en informer, sécuriser ces données, gérer les habilitations, s’assurer que les règles de rétention propres à chaque type de données sont conformes aux exigences légales et réglementaires, mais aussi sensibiliser en interne les personnes amenées à manipuler ces données. Cela s’applique également aux prestataires sous-traitants de l’employeur pour des missions RH (par exemple les prestataires RH, les cabinets de recrutement…).

Identifier les données personnelles et les traitements associés

La Direction des Ressources Humaines devra, dans un premier temps, identifier quelles sont les données personnelles (DCP) en sa possession. Ces données concernent principalement les personnes physiques ayant un statut de salariés actifs, de salariés sortis (et historisées dans les applications RH) ou de candidats. Elle devra également identifier les catégories de données traitées, telles que les DCP courantes (état-civil, situation familiale, CV, scolarité, formation professionnelle, données de connexion, données de localisation). Elle devra également vérifier si certaines données sont susceptibles de soulever des risques (données sensibles) par exemple, les données relatives à la santé.

Cette première étape doit aussi permettre de rationaliser le nombre de données collectées. Il s’agit de vérifier que les données utilisées sont vraiment indispensables : les données sont-elles collectées et stockées à des fins déterminées, explicites et légitimes ? Les données sont-elles bien supprimées dès lors que l’objectif poursuivi est atteint ?

Une fois les données identifiées, il s’agit de recenser l’ensemble des traitements associés. Pour chaque traitement, la nouvelle règlementation impose de détailler la finalité, le lieu de stockage, les catégories de données impliquées ou les acteurs – internes ou externes – qui traitent ces données.