RGPD et données RH : les bonnes pratiques

Les grands principes du Règlement Général sur la Protection des Données

Applicable sur le territoire de l’Union européenne, le RGPD a pour objectif d’encadrer les traitements de données personnelles, notamment afin de s’adapter aux évolutions technologiques et sociétales dont le développement croissant du numérique. La mise en application du RGPD date du 25 mai 2018. Ses principes directeurs sont :

• finalité : toute donnée collectée et enregistrée doit l’être dans un but légitime, légal et précis ;
• pertinence et proportionnalité : les informations d’un fichier donné doivent être absolument nécessaires à sa finalité ;
• exactitude : les informations obsolètes doivent être remplacées le plus vite possible ;
• durée de conservation limitée : chaque donnée personnelle doit être gardée pour une durée définie et variable selon le type d’information ;
• confidentialité et sécurité : les responsables des fichiers sont tenus de les préserver et de mettre en place les procédures nécessaires afin que l’accès aux données soit restreint aux personnes habilitées ;
• responsabilité : l’utilisation abusive ou la vente illégale d’informations personnelles est sanctionnée ;
• droit des personnes : les personnes dont les données sont conservées doivent être clairement informées et elles ont un droit d’accès à ces informations ainsi qu’un droit de modification, voire de suppression.

Quels sont les impacts du RGPD sur les RH ?

En tant que principaux collecteurs de données à caractère personnel, les services de gestion des ressources humaines sont les premiers concernés par le RGPD. Pour être en accord avec les règles édictées par le RDPG, les entreprises doivent se réorganiser et revoir leur manière de gérer les données à caractère personnel.

Le recrutement d’un profil DPO (Data Protection Officer / Délégué à la Protection des données) sera peut-être nécessaire pour accompagner l’ensemble des services dans la mise en place du RGPD.

Il est requis si votre organisme est public ou si votre société a comme activité de base et à grande échelle le traitement de données sensibles ou le suivi régulier et systématique des personnes. En l’absence de DPO, il est conseillé de désigner qui pilotera le projet RGPD. Comme le DPO, il a pour mission de mettre en place les actions nécessaires à la conformité réglementaire avec le RGPD.

Lors de l’analyse de vos traitements des informations à caractère personnel, le but est de minimiser la demande de données : vous devez limiter la collecte au strict nécessaire et conserver les données pendant le minimum de temps. La CNIL fournit des lignes directrices pour vous aider à choisir la durée de conservation des informations personnelles.

En quoi les RH sont-elles au cœur de l’action de mise en conformité ?

Recensement des données collectées et des traitements réalisés

La mise en conformité des entreprises avec le RGPD implique en premier lieu les services de ressources humaines, notamment, car ils centralisent de nombreuses données à caractère personnel. Il leur faut donc faire une cartographie des informations personnelles collectées et établir un registre des traitements. Ce dernier sert à recenser les traitements des données personnelles et permet d’en obtenir une vision globale.

Modifications des procédures internes

Afin d’être conformes au RGPD, les traitements de données personnelles déjà existants sont potentiellement à modifier. De nouvelles procédures peuvent également être créées, notamment pour définir les actions en cas de violation des données personnelles, de demandes de modification/rectification/suppression d’informations… Le service RH va aussi être leader pour la mise en place de la politique RGPD au sein de votre entreprise. Il va se charger de la formation et de l’information des collaborateurs, de la modification du règlement intérieur et de la charte informatique…

Possibles analyses d’impact

L’analyse d’impact relative à la protection des données (AIPD) sert à démontrer que des traitements à risques élevés sont bien conformes au RGPD. Pouvant concerner un ou plusieurs traitements similaires, l’AIPD est nécessaire si le traitement envisagé appartient à la liste définie par la CNIL concernant les obligations d’AIPD ou s’il remplit 2 des 9 critères définis par le groupe de travail sur l’article 29 du RGPD (G29). Si le traitement a été mis en œuvre avant le 25 mai 2018, il est dispensé d’AIPD pendant 3 ans à condition d’avoir été consigné dans un registre Informatique et libertés ou d’avoir été déclaré à la CNIL. Certaines dispenses peuvent aussi être attribuées selon la taille de la société.

Relations avec les sous-traitants

Les RH travaillent parfois avec des consultants extérieurs, par exemple pour des recrutements. Dans ces conditions, il y aura potentiellement des échanges de données personnelles. Il est alors conseillé de formaliser de nouveaux documents contractuels ou des avenants afin de s’assurer du respect du RGPD.

Comment protéger les données de vos collaborateurs ?

Limitez les informations collectées et restez transparent

Le service des ressources humaines a besoin d’informations personnelles relatives aux salariés pour différents processus RH : édition des bulletins de paie, gestion administrative des collaborateurs, etc. Cependant, il faut collecter des données en se restreignant aux informations strictement nécessaires et éviter les données sensibles (santé, religion, opinions politiques, régimes alimentaires…). Le service RH a la responsabilité de conserver ces données dans un système informatique sécurisé qui garantit la confidentialité et la traçabilité des modifications.

Vous devez informer les collaborateurs dès qu’ils vous fournissent de nouvelles informations qui seront conservées, par exemple pour une demande de formation.

Si vous mettez en place un contrôle de l’activité de vos collaborateurs, il doit répondre à un intérêt légitime de l’entreprise et ne pas consister en une surveillance permanente. Avant son instauration, consultez les éventuelles instances représentatives du personnel, puis informez l’ensemble des collaborateurs par une mise à disposition du détail des nouvelles mesures prévues.

Impliquez vos salariés dans la protection des données

Vos collaborateurs doivent être sensibilisés à la question de protection des données personnelles. Ils doivent être conscients de l’importance de ce sujet, et être pleinement engagés au niveau individuel comme au niveau collectif.

Cela peut se traduire par :

• rappel des règles élémentaires de sécurité informatique : interdiction de conserver des documents personnels sur son poste de travail professionnel, verrouillage des accès en quittant son poste, changement régulier des mots de passe…,
• sensibilisation aux bonnes pratiques concernant les données personnelles,
• sauvegardes régulières des fichiers, non-divulgation de données sensibles à des personnes non autorisées…,
• clarification concernant les droits des personnes selon leur service d’appartenance.