RGPD et données RH : les bonnes pratiques

Logo Linkedin

Articlé rédigé par Consultant expert RH SQORUS

Publié le 5 février 2021

Depuis la mise en application du RGPD (Règlement Général sur la Protection des Données) dans l’Union européenne le 25 mai 2018, les services de gestion des ressources humaines des entreprises privées et des organismes publics ont la charge de s’assurer de la mise en conformité de leurs structures avec cette réglementation. Or, dans les services de ressources humaines, collecter des données personnelles est nécessaire pour plusieurs processus RH : bulletins de paie, gestion des carrières, etc. Il leur incombe donc de mettre le fonctionnement de l’entreprise en conformité avec le RGPD, notamment en créant un registre des traitements et en réduisant au maximum la nature et la quantité de données personnelles utilisées. Il leur faut également s’assurer de la mise à disposition pour les salariés de toutes les informations relatives à l’utilisation de leurs données personnelles.

Les grands principes du Règlement Général sur la Protection des Données

Applicable sur le territoire de l’Union européenne, le RGPD a pour objectif d’encadrer les traitements de données personnelles, notamment afin de s’adapter aux évolutions technologiques et sociétales dont le développement croissant du numérique. La mise en application du RGPD date du 25 mai 2018. Ses principes directeurs sont :

  • finalité : toute donnée collectée et enregistrée doit l’être dans un but légitime, légal et précis ;
  • pertinence et proportionnalité : les informations d’un fichier donné doivent être absolument nécessaires à sa finalité ;
  • exactitude : les informations obsolètes doivent être remplacées le plus vite possible ;
  • durée de conservation limitée : chaque donnée personnelle doit être gardée pour une durée définie et variable selon le type d’information ;
  • confidentialité et sécurité : les responsables des fichiers sont tenus de les préserver et de mettre en place les procédures nécessaires afin que l’accès aux données soit restreint aux personnes habilitées ;
  • responsabilité : l’utilisation abusive ou la vente illégale d’informations personnelles est sanctionnée ;
  • droit des personnes : les personnes dont les données sont conservées doivent être clairement informées et elles ont un droit d’accès à ces informations ainsi qu’un droit de modification, voire de suppression.

Quels sont les impacts du RGPD sur les RH ?

En tant que principaux collecteurs de données à caractère personnel, les services de gestion des ressources humaines sont les premiers concernés par le RGPD. Pour être en accord avec les règles édictées par le RDPG, les entreprises doivent se réorganiser et revoir leur manière de gérer les données à caractère personnel.

Le recrutement d’un profil DPO (Data Protection Officer / Délégué à la Protection des données) sera peut-être nécessaire pour accompagner l’ensemble des services dans la mise en place du RGPD.

Il est requis si votre organisme est public ou si votre société a comme activité de base et à grande échelle le traitement de données sensibles ou le suivi régulier et systématique des personnes. En l’absence de DPO, il est conseillé de désigner qui pilotera le projet RGPD. Comme le DPO, il a pour mission de mettre en place les actions nécessaires à la conformité réglementaire avec le RGPD.

Lors de l’analyse de vos traitements des informations à caractère personnel, le but est de minimiser la demande de données : vous devez limiter la collecte au strict nécessaire et conserver les données pendant le minimum de temps. La CNIL fournit des lignes directrices pour vous aider à choisir la durée de conservation des informations personnelles.

En quoi les RH sont-elles au cœur de l’action de mise en conformité ?

Recensement des données collectées et des traitements réalisés

La mise en conformité des entreprises avec le RGPD implique en premier lieu les services de ressources humaines, notamment, car ils centralisent de nombreuses données à caractère personnel. Il leur faut donc faire une cartographie des informations personnelles collectées et établir un registre des traitements. Ce dernier sert à recenser les traitements des données personnelles et permet d’en obtenir une vision globale.

Modifications des procédures internes

Afin d’être conformes au RGPD, les traitements de données personnelles déjà existants sont potentiellement à modifier. De nouvelles procédures peuvent également être créées, notamment pour définir les actions en cas de violation des données personnelles, de demandes de modification/rectification/suppression d’informations… Le service RH va aussi être leader pour la mise en place de la politique RGPD au sein de votre entreprise. Il va se charger de la formation et de l’information des collaborateurs, de la modification du règlement intérieur et de la charte informatique…

Possibles analyses d’impact

L’analyse d’impact relative à la protection des données (AIPD) sert à démontrer que des traitements à risques élevés sont bien conformes au RGPD. Pouvant concerner un ou plusieurs traitements similaires, l’AIPD est nécessaire si le traitement envisagé appartient à la liste définie par la CNIL concernant les obligations d’AIPD ou s’il remplit 2 des 9 critères définis par le groupe de travail sur l’article 29 du RGPD (G29). Si le traitement a été mis en œuvre avant le 25 mai 2018, il est dispensé d’AIPD pendant 3 ans à condition d’avoir été consigné dans un registre Informatique et libertés ou d’avoir été déclaré à la CNIL. Certaines dispenses peuvent aussi être attribuées selon la taille de la société.

Relations avec les sous-traitants

Les RH travaillent parfois avec des consultants extérieurs, par exemple pour des recrutements. Dans ces conditions, il y aura potentiellement des échanges de données personnelles. Il est alors conseillé de formaliser de nouveaux documents contractuels ou des avenants afin de s’assurer du respect du RGPD.

En quoi les RH sont-elles au cœur de l’action de mise en conformité ?

Limitez les informations collectées et restez transparent

Le service des ressources humaines a besoin d’informations personnelles relatives aux salariés pour différents processus RH : édition des bulletins de paie, gestion administrative des collaborateurs, etc. Cependant, il faut collecter des données en se restreignant aux informations strictement nécessaires et éviter les données sensibles (santé, religion, opinions politiques, régimes alimentaires…). Le service RH a la responsabilité de conserver ces données dans un système informatique sécurisé qui garantit la confidentialité et la traçabilité des modifications.

Vous devez informer les collaborateurs dès qu’ils vous fournissent de nouvelles informations qui seront conservées, par exemple pour une demande de formation.

Si vous mettez en place un contrôle de l’activité de vos collaborateurs, il doit répondre à un intérêt légitime de l’entreprise et ne pas consister en une surveillance permanente. Avant son instauration, consultez les éventuelles instances représentatives du personnel, puis informez l’ensemble des collaborateurs par une mise à disposition du détail des nouvelles mesures prévues.

Impliquez vos salariés dans la protection des données

Vos collaborateurs doivent être sensibilisés à la question de protection des données personnelles. Ils doivent être conscients de l’importance de ce sujet, et être pleinement engagés au niveau individuel comme au niveau collectif.

Cela peut se traduire par :

  • rappel des règles élémentaires de sécurité informatique : interdiction de conserver des documents personnels sur son poste de travail professionnel, verrouillage des accès en quittant son poste, changement régulier des mots de passe…,
  • sensibilisation aux bonnes pratiques concernant les données personnelles,
  • sauvegardes régulières des fichiers, non-divulgation de données sensibles à des personnes non autorisées…,
  • clarification concernant les droits des personnes selon leur service d’appartenance.

Comment optimiser votre data RH ?

Optimisez votre stratégie RH grâce aux outils de pilotage les plus performants du marché et donnez une longueur d’avance à votre entreprise.

Contact

Un projet ? Une demande ?
 Des questions ?

Contactez-nous dès aujourd’hui et découvrez comment nous pouvons concrétiser ensemble l’avenir du numérique de votre entreprise.

Articles complémentaires

Parcours - Onboarding SQORUS

Pour ne rien rater, inscrivez-vous à notre newsletter !

Notre mission

Découvrez les forces de la stratégie SQORUS

Nous avons su nous adapter aux nouveaux enjeux digitaux, à l’arrivée du Cloud et aux évolutions des modes de travail. Nous avons réussi à tisser des partenariats forts avec les principaux éditeurs du marché et à attirer des experts métiers et techniques.

Notre force : nos plus de 300 talents dédiés à la réussite de vos projets et partageant des valeurs fortes : la diversité, l’engagement et la solidarité, qui constituent une réelle valeur pour l’entreprise et ses clients.

Great Place to Work depuis 10 années consécutives, SQORUS est sensible à l’épanouissement de ses Sqorusien.ne.s, à leur évolution de carrière et à leur formation sur des solutions d’avenir.

SQORUS est un cabinet spécialisé dans la transformation digitale et métiers des fonctions RH, Finance et IT. Nos consultants interviennent depuis plus de 30 ans auprès de grandes entreprises sur des projets stratégiques, à dimension internationale, autour des systèmes d’information : stratégie d’évolution, aide au choix, intégration, Business Intelligence, Data Management, support et conduite du changement, mais également sur des enjeux autour du Cloud et de l’Intelligence Artificielle.