Le RGPD (Règlement Général sur la Protection des Données) uniformise le traitement des données personnelles (sur papier ou support numérique) au niveau européen. Il touche également les RH, qui disposent de nombreuses données relatives à leurs salariés et à leurs candidats. Dans l’article suivant, découvrez comment le RGPD impacte les fonctions RH.
Les données les données accessibles aux services RH
Qu’est une « donnée personnelle et/ou sensible » d’après le RGPD
La plus grande difficulté pour le service RH consiste à bien comprendre ce qu’est une donnée personnelle. Il ne s’agit pas simplement des noms et prénoms de ses collaborateurs. Dès qu’un renseignement sur un collaborateur est répertorié et exploitable, il devient une donnée personnelle. Par conséquent, le RGPD impose une approche systémique de la donnée, d’où la complexité pour organiser son stockage, son traitement et sa suppression en entreprise.
Selon la définition officielle publiée sur le site de la CNIL, une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Il est donc primordial que les principaux intéressés puissent en garder le contrôle. Une personne physique peut être identifiée directement (exemple : nom et prénom) ou indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation). Les fiches de paie, les notes de frais, les justificatifs d’absence, les informations médicales, les demandes d’entretien constituent des données à protéger qui sont sous la responsabilité de l’entreprise.
Les données sensibles, une catégorie à part
Toujours selon le site officiel de la CNIL, les données sensibles sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Certains secteurs sont par essence concernés par leur traitement qui nécessite une attention particulière, comme le secteur médical.
Le règlement européen interdit de recueillir ou d’utiliser ces données, sauf, notamment, dans les cas suivants (source : cnil.fr) :
- si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée) ;
- si les informations sont manifestement rendues publiques par la personne concernée ;
- si elles sont nécessaires à la sauvegarde de la vie humaine ;
- si leur utilisation est justifiée par l’intérêt public et autorisé par la CNIL ;
- si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.
Les données personnelles n’ont pas la même durée de stockage
Toutes les données ne sont pas sur le même pied d’égalité concernant la durée de conservation légale prévue. D’après le site officiel de la CNIL (cnil.fr) , il est possible de conserver les images d’un dispositif de vidéosurveillance pendant un mois. Une fiche de paie ou une fiche de contrôle des horaires peut être conservée pendant 5 ans. Un dossier médical est conservé pendant 10 ans à compter de la consolidation du dommage. Un CV est conservé 2 ans après le dernier contact avec le candidat. Il est donc nécessaire de structurer l’ordre de conservation des différentes données, et notamment dans la constitution de viviers de CVs : l’entreprise doit demander le renouvellement du consentement des candidats pour avoir l’autorisation de conserver ces données.
Les enjeux RGPD pour les RH
Candidats et collaborateurs
Le RGPD garantit à chaque candidat et collaborateur le droit de consulter ses données personnelles, de les rectifier ou de les supprimer. Il garantit également un délai en matière de durée de conservation des données. Ainsi à partir du moment où les données ne sont plus utilisées depuis un certain temps, ou selon le cadre légal appliqué, elles doivent être automatiquement détruites.
Le service RH doit faire en sorte que « toutes » les données soient facilement accessibles pour répondre rapidement aux demandes de consultation des collaborateurs ou des candidats. Avec l’aide du DPO, il doit assurer la traçabilité de tous les traitements (quelles données sont détenues, où sont-elles stockées, quelle est la finalité). Il faut ensuite mettre en place des processus pour garantir la suppression automatique des données personnelles, et être en capacité de garantir le respect du droit à l’oubli lorsque celui-ci est exercé.
Par ailleurs, le DPO doit également savoir où sont stockées les données et quels membres du personnel y ont accès. Il doit aussi rédiger la liste de tous les traitements de ces données, et savoir quels partenaires ou organismes y ont accès.
Protection des entreprises
Les données personnelles appartiennent aux candidats et aux collaborateurs mais sont finalement sous la responsabilités des entreprises. Ces données peuvent intéresser des personnes malveillantes, notamment dans l’objectif de les revendre. Sous la croissance des attaques de ransomware, les entreprises ont un devoir de sécurisation des données. C’est-à-dire qu’elles doivent être en capacité de contrôler l’accès, et prévoir de les stocker au sein d’espaces totalement sécurisés.
Effectivement le droit d’accès à ces données doit être contrôlé, et le mieux est de définir des droits selon les typologies d’interlocuteurs au sein d’une même entité. Ainsi, seules les personnes sensibilisées à cette problématique et ayant réellement besoin de les consulter, auront accès à ces données. L’accès doit également être sécurisé, tant bien par un mot de passe que par un outil spécifique. Il existe beaucoup de solutions sur le marché pour répondre à ces enjeux.