RGPD
kickblog

Comment le RGPD impacte-t-il les RH ?

Avant de commencer, consultez notre contenu "Ebook – Trame d’entretien de fin de période d’essai (Word)"
Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email
Suivez-nous sur Linkedin :

Vous souhaitez contribuer au blog ou réaliser un échange de visibilité ?

🔗 En savoir plus.

Le RGPD (Règlement Général sur la Protection des Données) uniformise le traitement des données personnelles (sur papier ou support numérique) au niveau européen. Il touche également les RH, qui disposent de nombreuses données relatives à leurs salariés et à leurs candidats. Dans l’article suivant, découvrez comment le RGPD impacte les fonctions RH. 

Les données les données accessibles aux services RH

Qu’est une « donnée personnelle et/ou sensible » d’après le RGPD

La plus grande difficulté pour le service RH consiste à bien comprendre ce qu’est une donnée personnelle. Il ne s’agit pas simplement des noms et prénoms de ses collaborateurs. Dès qu’un renseignement sur un collaborateur est répertorié et exploitable, il devient une donnée personnelle. Par conséquent, le RGPD impose une approche systémique de la donnée, d’où la complexité pour organiser son stockage, son traitement et sa suppression en entreprise.  

Selon la définition officielle publiée sur le site de la CNIL, une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Il est donc primordial que les principaux intéressés puissent en garder le contrôle. Une personne physique peut être identifiée directement (exemple : nom et prénom) ou indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation). Les fiches de paie, les notes de frais, les justificatifs d’absence, les informations médicales, les demandes d’entretien constituent des données à protéger qui sont sous la responsabilité de l’entreprise. 

Les données sensibles, une catégorie à part

Toujours selon le site officiel de la CNIL, les données sensibles sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Certains secteurs sont par essence concernés par leur traitement qui nécessite une attention particulière, comme le secteur médical.

Le règlement européen interdit de recueillir ou d’utiliser ces données, sauf, notamment, dans les cas suivants (source : cnil.fr) :

  • si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée) ;
  • si les informations sont manifestement rendues publiques par la personne concernée ;
  • si elles sont nécessaires à la sauvegarde de la vie humaine ;
  • si leur utilisation est justifiée par l’intérêt public et autorisé par la CNIL ;
  • si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.

Les données personnelles n’ont pas la même durée de stockage

Toutes les données ne sont pas sur le même pied d’égalité concernant la durée de conservation légale prévue. D’après le site officiel de la CNIL (cnil.fr) , il est possible de conserver les images d’un dispositif de vidéosurveillance pendant un mois. Une fiche de paie ou une fiche de contrôle des horaires peut être conservée pendant 5 ans. Un dossier médical est conservé pendant 10 ans à compter de la consolidation du dommage. Un CV est conservé 2 ans après le dernier contact avec le candidat. Il est donc nécessaire de structurer l’ordre de conservation des différentes données, et notamment dans la constitution de viviers de CVs : l’entreprise doit demander le renouvellement du consentement des candidats pour avoir l’autorisation de conserver ces données. 

Les enjeux RGPD pour les RH

Candidats et collaborateurs

Le RGPD garantit à chaque candidat et collaborateur le droit de consulter ses données personnelles, de les rectifier ou de les supprimer. Il garantit également un délai en matière de durée de conservation des données. Ainsi à partir du moment où les données ne sont plus utilisées depuis un certain temps, ou selon le cadre légal appliqué, elles doivent être automatiquement détruites.

Le service RH doit faire en sorte que « toutes » les données soient facilement accessibles pour répondre rapidement aux demandes de consultation des collaborateurs ou des candidats. Avec l’aide du DPO, il doit assurer la traçabilité de tous les traitements (quelles données sont détenues, où sont-elles stockées, quelle est la finalité). Il faut ensuite mettre en place des processus pour garantir la suppression automatique des données personnelles, et être en capacité de garantir le respect du droit à l’oubli lorsque celui-ci est exercé. 

Par ailleurs, le DPO doit également savoir où sont stockées les données et quels membres du personnel y ont accès. Il doit aussi rédiger la liste de tous les traitements de ces données, et savoir quels partenaires ou organismes y ont accès.

Protection des entreprises

Les données personnelles appartiennent aux candidats et aux collaborateurs mais sont finalement sous la responsabilités des entreprises. Ces données peuvent intéresser des personnes malveillantes, notamment dans l’objectif de les revendre. Sous la croissance des attaques de ransomware, les entreprises ont un devoir de sécurisation des données. C’est-à-dire qu’elles doivent être en capacité de contrôler l’accès, et prévoir de les stocker au sein d’espaces totalement sécurisés. 

Effectivement le droit d’accès à ces données doit être contrôlé, et le mieux est de définir des droits selon les typologies d’interlocuteurs au sein d’une même entité. Ainsi, seules les personnes sensibilisées à cette problématique et ayant réellement besoin de les consulter, auront accès à ces données. L’accès doit également être sécurisé, tant bien par un mot de passe que par un outil spécifique. Il existe beaucoup de solutions sur le marché pour répondre à ces enjeux.

📩  INSCRIVEZ-VOUS À LA KICK'LETTER

Recevez chaque semaine nos meilleurs contenus (articles, guides, tutoriels) ainsi que notre actualité directement par email.

Ces contenus gratuits pourraient vous intéresser

Description du métier Les tâches et les responsabilités Les tâches d’un chef de projet CRM (gestion de la relation client) incluent généralement la planification,

Kicklox vous accompagne​

Vous êtes à la recherche de compétences techniques pour un besoin urgent ?
Vous recherchez une agence ou un cabinet de conseil ?
© 2015 – 2022 Kicklox, tous droits réservés

Publiez votre offre sur Kicklox gratuitement et sollicitez 75 000 candidats

Vos informations de contact
Recevez une shortlist de candidats qualifiés
gratuitement et sans engagement 👇


kicklox logo
Qu'est-ce que Kicklox ?
Kicklox est une plateforme de mise en relation dédiée aux profils d'ingénieurs, IT, développeurs & industriels.

Kicklox fédère une communauté de + de 75 000 candidats qualifiés à l'écoute d'opportunités en CDI ou en freelance.
💶  Rémunération au succès uniquement.