RH : 5 réflexes à prendre avec le RGPD
Quelles sont les actions à mettre en œuvre par le département des Ressources Humaines pour anticiper l’application du RGPD ?
Je m'abonneLes ressources humaines (RH) constituent le pilier d’une entreprise : proches du personnel comme de l’équipe dirigeante, elles ont accès à des informations sensibles et bénéficient d’un pouvoir décisionnel certain.
A l’ère d’une culture d’entreprise toujours plus connectée, la frontière entre vie professionnelle et vie privée apparaît poreuse. Si les avantages de la digitalisation de l’entreprise sont nombreux en termes de flexibilité et d’efficacité, les inquiétudes des employés quant à une exposition croissante de leurs données personnelles apparaissent légitimes.
Dans ce contexte, la nouvelle règlementation en matière de données personnelles (RGPD), qui entrera en vigueur le 25 mai 2018, aura pour effet de rétablir un équilibre dans un objectif constant de protection des individus.
Pour ce faire, le règlement renforce nettement les obligations à la charge des responsables de traitement et augmente le plafond des amendes pouvant être infligées par les autorités de régulation – la CNIL en France – en cas de violation de ses dispositions.
Le RGPD consacre en outre le principe d’accountability : l’entreprise devient actrice de sa mise en conformité et doit pouvoir en justifier à tout moment via une documentation fournie.
Quelles sont les actions à mettre en œuvre par le département des Ressources Humaines pour anticiper l’application du RGPD ?
Sous l’empire de la loi Informatique et libertés, les responsables de traitement devaient préalablement à la mise en œuvre d’un traitement de données à caractère personnel effectuer des déclarations auprès de la CNIL.
A cet égard, et dans le cadre particulier des ressources humaines, la CNIL avait édité des normes et autorisations permettant de simplifier ce processus :
- la norme simplifiée n°46 concerne la gestion des ressources humaines des organismes publics et privés ;
- la norme simplifiée n°42 portant sur les badges dans les lieux de travail ;
- l’autorisation unique AU-004 pour les dispositifs d’alerte professionnelle ;
- la dispense n° 2 pour la gestion des rémunérations mise en œuvre par les personnes morales de droit privé.
Le RGPD allège nettement ce processus et prévoit, pour les entreprises d’au moins 250 salariés, l’obligation de tenir un registre des traitements qui devra être mis à disposition de la CNIL.
Tout l’enjeu pour l’employeur est désormais de cartographier l’ensemble des traitements relatifs aux ressources humaines et pour chaque finalité et sous-finalité identifiées renseigner les mentions obligatoires détaillées à l’article 30 du RGPD :
- le nom et les coordonnées des responsables de traitements, co-responsables de traitements, sous-traitants et destinataires intervenant dans le traitement ;les finalités du traitement ;
- les catégories de personnes concernées et les catégories de données à caractère personnel ;
- le cas échéant, les transferts de données à caractère personnel hors UE et les données communiquées
- une description générale des mesures de sécurité techniques et organisationnelles.
- dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données.
Exemple de traitements habituellement recensés dans le cadre du département RH
Il convient de noter qu’en matière de droit du travail, le RGPD comporte un article 88 [1] dédié aux traitements des données personnelles dans le cadre des relations au travail, qui donne une orientation aux Etats membres. Si ces derniers conservent une marge de manœuvre quant aux règles à édicter, celles-ci doivent néanmoins préserver la dignité humaine, les intérêts légitimes et les droits de la personne concernée, en particulier au regard de la transparence du traitement, le transfert des données dans un groupe d’entreprises et les systèmes de contrôle sur le lieu de travail.
Dans le cadre des traitements RH et plus particulièrement lors de la phase de recrutement,l’employeur devra prendre soin de ne collecter que les données adéquates, pertinentes et strictement nécessaires à la finalité du traitement conformément au principe de minimisation des données tel que défini à l’article 5 du RGPD.
A titre d’exemple, la collecte de données concernant l’entourage familial d’un candidat (nom et prénom des enfants ou des parents, etc.) sur un formulaire de candidature apparaît superflue en ce qu’elle ne permet ni d’évaluer les compétences professionnelles d’un candidat ni d’apprécier sa capacité à occuper l’emploi proposé.
De même, il est interdit de collecter des données « sensibles » telles que définies par l’article 9 du RGPD [2] sauf dérogations particulières.
Les RH doivent également s’assurer qu’une politique de durée de conservation des données a été définie au sein de l’entreprise et que les données sont supprimées dès lors que l’objectif poursuivi est atteint.
Ainsi, pour reprendre l’exemple de la candidature à une offre d’emploi, les CV et lettres de motivation des candidats non retenus doivent être régulièrement purgés et ne pas être conservés plus de deux ans à compter du dernier contact avec le candidat.
L’employeur devra informer ses salariés et ses candidats de la mise en place d’un traitement, de ses finalités et des modalités entourant ce traitement.
Lors de la collecte des données, les candidats et employés devront être informés des mentions suivantes [3] :
- Les coordonnées du DPO ;
- Le fondement juridique du traitement ;
- En cas de transfert hors UE : les garanties offertes et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;
- Le droit de la personne dont notamment son droit à la limitation du traitement et à la portabilité ;
- Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
- L’existence d’une obligation contractuelle ou réglementaire de fournir les données et conséquences du défaut de fourniture ;
- L’intention d’effectuer un traitement ultérieur des données à d’autres fins ;
- Si les données n’ont pas été collectées auprès de la personne concernée : leur source et le cas échéant une mention indiquant qu’elles sont issues ou non de sources accessibles au public.
Cette information doit être délivrée de façon claire et précise et apparaître sur différents supports tels que par exemple :
- Le site internet de l’entreprise dès lors qu’il y a un formulaire (exemple : candidature en ligne)
- Les documents de collecte des données personnelles tels que le contrat de travail et le règlement intérieur.
De même, le RGPD définit le consentement comme la manifestation d’un acte positif.Ainsi, avant de collecter les données personnelles du candidat ou d’un membre du personnel, l’employeur devra veiller à recueillir le consentement de celui-ci en prévoyant un système de collecte tel que par exemple une case à cocher ou une autorisation écrite. Rappelons à cet égard que la preuve du consentement est à la charge du responsable de traitement.
L’employeur doit prendre toutes les mesures « techniques et organisationnelles » pour assurer la confidentialité des données personnelles des candidats et employés et éviter toute divulgation aux tiers non-autorisés [4]. Cette obligation est renforcée du fait de la manipulation de données dites sensibles.
Classiquement, les mesures organisationnelles recouvrent la gouvernance de l’entreprise (sensibilisation du personnel aux cyber-risques, mis en place d’une documentation interne) tandis que les mesures techniques concernent les dispositifs de sécurité physique et informatique mis en place.
L’employeur pourra utilement formaliser un référentiel de sécurité comportant notamment une « politique de gestion des incidents », « une politique de sécurité des systèmes d’information » ou encore une « Charte d’habilitation ». Ces documents participent de la gouvernance de l’entreprise et ont vocation à informer le personnel des bonnes pratiques à adopter pour assurer la sécurité et la confidentialité des données personnelles auxquelles il a accès.
Dans le cadre des traitements les plus sensibles, comme par exemple le traitement de données relatif à des données de santé des salariés (handicaps éventuels, etc.), il conviendra de mener une étude d’impact sur la protection des données (PIA).
Précisons qu’avec l’entrée en vigueur du RGPD et dans un objectif de transparence et de traçabilité des traitements, l’employeur devra notifier à la CNIL toute faille de sécurité dans les 48 heures. [5]
Le RGPD consacre un nouvel acteur, présenté comme le chef d’orchestre de la conformité au sein de l’entreprise : le délégué à la protection des données ou DPO (Data Protection Officer) [6].
Le DPO est en effet le garant du respect de la réglementation au sein de l’entreprise et doit notamment :
- informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés ;
- contrôler le respect du règlement, d'autres dispositions en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant ;
- dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci.
- Coopérer avec l'autorité de contrôle (CNIL) sur les questions relatives au traitement.
Le DPO doit donc allier compétences juridiques en matière de données personnelles et indépendance hiérarchique : A cet égard, il ne peut être membre de l’équipe dirigeante ! Dans ce contexte, il apparaît opportun d’externaliser cette fonction.
La désignation d’un DPO présente surtout l’avantage d’avoir une personne dédiée à la conformité des traitements au sein de l’entreprise, capable de conseiller et d’assister les entreprises dans leur démarche.
Il est encore temps de réagir…
Fort de près de vingt années d’expertise aux côtés des acteurs du digital et de l’innovation, le Cabinet HAAS Avocats, triplement labélisé CNIL, se tient à votre disposition pour vous assister dans la mise en conformité de vos traitements de données au RGPD.
- Effectuer un audit de conformité : Cartographier vos traitements, identifier les points d’écarts et réaliser des registres répondant aux exigences de la réglementation
- Formaliser un référentiel sécurité (Chartes, PSSI, habilitation, etc.) : Formaliser les « mesures techniques et organisationnelles » dans un référentiel à communiquer à la CNIL en cas de contrôle
- Sensibiliser le personnel (formation) : le cabinet HAAS propose des formations permettant aux entreprises d’être sensibilisées au RGPD et de conduire les bonnes actions
- Nommer un DPO externe : le cabinet HAAS assure les fonctions de DPO externe
- Réaliser une Etude d’impact (PIA) : Mener une étude d’impact sur vos traitements à risques
Pour plus d’informations, cliquez ici.
[1] Art. 88 du RGPD :
« 1. Les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail, aux fins, notamment, du recrutement, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l'organisation du travail, de l'égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l'employeur ou au client, aux fins de l'exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail.
2. Ces règles comprennent des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées, en accordant une attention particulière à la transparence du traitement, au transfert de données à caractère personnel au sein d'un groupe d'entreprises, ou d'un groupe d’entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail.
3. Chaque État membre notifie à la Commission les dispositions légales qu'il adopte en vertu du paragraphe 1 , au plus tard le…[deux ans à compter de la date d'entrée en vigueur du présent règlement] et, sans tarder, toute modification ultérieure les concernant. »
[2] Art.9 du RGPD : « Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits. »
[3] Article 13 RGPD
[4] Article 32 du RGPD
[5] Article 33 du RGPD
[6] Article 37 du RGPD
Je m'abonne