#Data

RGPD : RH, êtes-vous à l'abri des poursuites ?

Adopté par le Parlement européen le 14 avril 2016, le règlement n°2016/679 dit Règlement Général sur la Protection des Données personnelles (RGPD) est entré en application le 25 mai 2018. 
Quelques rappels sur les notions clés du règlement et en particulier sa mise en application dans la fonction RH.
LES NOTIONS CLES DU RGPD 
  • Champs d’application matériel et territorial  

Le RGPD est applicable à chaque fois que des données à caractère personnel sont traitées, « dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union » (article 3, RGPD). 

  •  Les données à caractère personnel (DCP)  

D’après l’article 4 du texte, une donnée à caractère personnel correspond à « toute information se rapportant à une personne physique identifiée ou identifiable ». Il s’agit pour les RH de bien comprendre que les données personnelles d’un collaborateur ne sont pas constituées uniquement de ses coordonnées. Dès qu’une information sur un collaborateur est répertoriée et exploitable, elle devient une donnée personnelle. Le RGPD implique donc une approche systémique de la donnée afin d’appréhender la complexité globale en matière de traitement. 

  • Les traitements  

L’article 4 du RGPD définit un traitement comme étant « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, … ». Les traitements concernent toutes les opérations opérées sur la donnée de la collecte à la suppression en passant par l’exploitation, la structuration, le nettoyage, l’analyse et le stockage de celle-ci. 

  • Le responsable de traitement et le sous-traitant  

Le RGPD distingue la personne physique ou morale qui détermine les moyens et les finalités du traitement (responsable du traitement), de celle qui le réalise (sous-traitant) pour le compte de celui-ci. 

LES PRINCIPALES OBLIGATIONS APPLICABLES AUX ENTREPRISES

La législation européenne sur la protection des données personnelles repose sur les obligations suivantes : 

  • Tout traitement de DCP doit respecter les principes généraux énoncés par l’article 5 de RGPD : licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude des données traitées, limitation de la conservation, intégrité et confidentialité. 
  • Si le traitement n’est pas effectué dans le cadre de l’exécution d’un contrat, d’une obligation légale, de la sauvegarde d’intérêts vitaux, d’une mission d’intérêt public ou d’un intérêt légitime, l’organisation doit recueillir le consentement de la personne physique dont elle traite les données (art 6). 
  • Les organisations doivent remplir un devoir d’information des personnes dont elles recueillent les données. Ces informations doivent inclure par exemple les finalités du traitement, les coordonnées du responsable de traitement, la durée de conservation des données, …  
  • Elles doivent également garantir la possibilité aux personnes concernées par le traitement de leurs DCP d’exercer leurs droits : droit de rectification, droit à l’effacement des données, droit à la portabilité des données, droit d’opposition … (articles 15 à 21). 
  • Dans la mesure du possible, les responsables de traitement doivent mettre en œuvre les mesures appropriées en fonction du niveau de risque, pour garantir la protection des données personnelles. Elles doivent être prévues dès la conception du traitement et du système d’information. 
LA FONCTION RH EN POLE POSITION POUR L'APPLICATION DU RGPD 

Les RH sont un domaine d’activité de l’entreprise qui, du fait de son fonctionnement et de ses interactions, est central dans la mise en œuvre du RGPD. 

Le service RH, par sa nature, fonctionne exclusivement à partir de données personnelles. Dès le début du recrutement, il collecte les noms et prénoms du candidat, ses diplômes, puis une fois intégrés à l’entreprise, collecte leur numéro de sécurité sociale, leur situation familiale. Plus tard, il gère les formations, les évaluations, les demandes de congés, les arrêts de travail, ... 

Les services RH peuvent même être amené à collecter des Données Personnelles Sensibles; elles couvrent par exemple toutes les informations relatives à la santé, à la biométrie, à l’appartenance syndicale, à l’obédience de l’individu ; elles font en conséquence l’objet d’un régime spécifique, encore plus protecteur que les autres données. 

Dans le domaine des RH, les personnes concernées sont évidemment l’ensemble des salariés de la société ; mais, dans les faits, les personnes concernées sont aussi les candidats en cours de recrutement, tout comme ceux qui ont fait parvenir une candidature spontanée, ou les apprentis présents dans l’organisation ; en fait, tous ceux dont les Données Personnelles sont collectées et donc traitées. 

Les traitements sont nombreux pour la DRH et couvrent l’ensemble des champs d’activité, du recrutement (et même en amont de la gestion des candidatures spontanées ou non) à la paye en passant par la gestion du temps de travail, la gestion des carrières, la gestion des absences jusqu’au contentieux prud’hommaux. 

Il est nécessaire de rappeler que les opérations non automatisées sont à prendre en compte dans l’application du RGPD, et notamment la gestion papier : CV, dossier du personnel, arrêt de travail, … 

L’ensemble des tâches de la DRH ne peut donc être considérées comme ayant un impact négligeable sur les données personnelles. Compte tenu de ce constat, les processus de mise en conformité au RGPD pour les RH constituent pour l’organisation un projet fondamental.

LES RH, ACTEURS CLES DE LA MISE EN CONFORMITE...

Le RGPD a pour vocation de donner un cadre qui offre tout de même des latitudes quant à son application et en tant que responsables de traitement, les RH se doivent de mettre en application un certain nombre de prérequis dans le cadre de sa politique de respect des données personnelles pour assurer une mise en conformité avec le RGPD : 

  • Cartographier les données collectées et les traitements pratiqués en examinant l’ensemble de l’activité et des habitudes de la DRH. 
  • Retranscrire cette cartographie dans la documentation RGPD, en particulier par l’établissement d’un Registre des Traitements. Celui-ci  constitue un outil précieux pour une couverture des différents aspects du RGPD dans son déploiement. Il liste les finalités visées par la collecte de données, la typologie de donnée utilisée, les personnes ayant accès à celles-ci ainsi que la durée de conservation nécessaire. 
  • Mener une analyse d’impact sur la protection des données (AIPD), en particulier si certains traitements effectués sont susceptibles d’affecter de manière élevée la vie privée des personnes concernées (scénarios/risques/mesures pour limiter les risques).  
  • Adapter les pratiques internes, corriger les mauvaises habitudes :  
  1. Minimiser la collecte des informations afin qu’elle corresponde à une véritable finalité 
  1. Supprimer les données personnelles : CV des candidats non retenus, données personnelles d’un salarié qui a quitté l’entreprise (droit à l’oubli), … 
  1. Répondre aux demandes d’exercice du droit des personnes concernées (droits d’accès, de rectification, de consultation, de suppression et d’opposition).  
  1. Alerter en cas de violation de données 
… ET PLUS ENCORE !
  • Jouer un rôle déterminant dans l’implémentation de la politique de Données Personnelles via la mise en œuvre de différents canaux de communication : charte de confidentialité, règlement intérieur, charte informatique, formation du personnel et actions de sensibilisation du personnel au RGPD. 
  • Mettre en place des mesures de sécurité appropriées pour protéger les données personnelles des employés contre tout accès, divulgation, altération ou destruction non autorisés. Cela inclut des mesures informatiques (chiffrement des données, accès restreint aux informations sensibles, mise en place de pare-feu et de systèmes de détection des intrusions) et logistiques. 
  • S’assurer que la sous-traitance présente des garanties suffisantes, notamment en matière de sécurité. Dans la mesure où la DRH peut faire appel à des prestataires extérieurs (sous-traitance informatique, externalisation de la paie, cabinet de recrutement, organisateur événementiel, …), il conviendra de considérer le fait que ces derniers puissent être destinataires de Données Personnelles. Le niveau d’exigence envers la sous-traitance doit être a minima équivalente à celui pratiqué au sein de la DRH. Cela se concrétise de façon formelle dans les documents contractuels qui doivent inclure des clauses définissant les relations entre responsable de traitement et sous-traitant et les obligations spécifiques de ce dernier en matière de sécurité, de confidentialité et de documentation de son activité.  
UN IMPERATIF… POUR SE METTRE A L'ABRI D'EVENTUELLES POURSUITES

Dans tous les cas, cette mise en conformité va permettre de se prémunir contre les éventuelles plaintes des personnes concernées (candidat au recrutement non retenu, salarié en contentieux avec les RH, salarié estimant n’être pas suffisamment informé sur ses données collectées, impossibilité de répondre à l’exercice des droits du salarié).

Tous les services RH sont donc impactés par le RGPD et compte tenu du montant de la sanction en cas de non-respect du règlement, à savoir, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires, la mise en conformité s’avère indispensable.  

Frédéric CLAUDEPIERRE
Consultant Manager ACT-ON DATA
LinkedIn

À lire également

crossmenuchevron-down