Afin de vous accompagner durant cette reprise, nous avons mis en place une page spécial REBOND.

RGPD et RH : que fait-on des « datas » des collaborateurs ? Comment les protéger ?

 

Le RGPD ne concerne pas seulement vos clients. Vos collaborateurs sont directement touchés eux aussi. Concentrez donc vos efforts également sur les données internes. Le mois de mai 2018 approche à grands pas. Préparez et incluez vos services Paie et RH à la stratégie à adopter autour du RGPD. 

Quelques rappels sur le RGPD

Le Règlement Général sur la Protection des Données (RGPD) est un texte de référence européen en matière de protection des données à caractère personnel. Il vise à renforcer et unifier la protection des données pour tous les individus au sein de l’Union Européenne. Il concerne les entreprises, les associations, les administrations, collectivités locales et syndicats d’entreprises. Il entrera en vigueur le 25 mai 2018.  La procédure de déclaration à la CNIL disparaît à compter de cette date et est remplacée par l’obligation pour l’entreprise de tenir un registre interne des traitements de données à caractère personnel mis en œuvre.   

La donnée personnelle, c’est quoi ?

Une donnée à caractère personnel appelée le plus souvent « données personnelles » correspond à toute information relative à une personne physique identifiée ou identifiable directement ou indirectement grâce à des éléments qui lui sont propres. Les données sont protégées par la loi informatique, fichiers et libertés de 1978, le RGPD et la Convention n°108 pour la protection des données personnelles du Conseil de l’Europe. En France, la loi indique que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ». 

Les traitements des données personnelles en Paie et RH

« 33% des responsables RH sont préoccupés par la confidentialité des données et le RGPD » (source : Etude IDC, 2017). 

Il est nécessaire dans un premier temps d’identifier son périmètre. Voici donc une liste non exhaustive dtraitements Paie & RH pouvant comprendre des données personnelles. 

Lors d’un recrutement, de nombreuses données personnelles sont collectées telles que des CV, des photos, des candidatures spontanées, des portfolios, des formulaires de candidatures, des lettres de motivation ou de recommandation…  

Lembauche fait également l’objet d’échange d’informations confidentielles ; les RH ont besoin des coordonnées du collaborateur, parfois de photocopies de ses diplômes, son n° de sécurité sociale, son RIB, son autorisation de droit à l’image, sa situation familiale. Un contrat de travail est établi et il n’est pas rare d’échanger ses informations avec des organismes extérieurs, parfois par mail. 

En vue d’évoluer professionnellement, les collaborateurs sollicitent des formations notamment lors des entretiens ou évaluations annuelles. 

La fin de contrat d’un collaborateur intervient souvent dans le cadre d’une lettre de licenciement ou de démission, documents confidentiels contenants également des données personnelles. 

Annuaire d’entreprise, suivi des entrées/sorties de collaborateurs, gestion des badges et de la vidéo surveillance… sont autant de traitement qu’il faudra analyser dans le cadre du RGPD.  

Et bien sûr, last but not least, ltraitement de la Paie, traitement des traitements, doit faire l’objet d’une attention toute particulière. 

Bon très bien, et je fais quoi ?

Une fois les traitements et données personnelles identifiés, la CNIL préconise d’évaluer les risques et ensuite de définir le plan relatif à la mise en place des actions correctives comme par exemple : 

Confirmer le bon traitement de leurs données aux salariés

L’employeur devra revoir les clauses des documents de collecte de données personnelles (règlement intérieur, contrats de travail) afin d’informer les candidats et employés de leurs droits et des traitements qui seront apportés à leurs données. En cas de violation des données personnelles (ex : programmes malveillants, hameçonnage, intrusions…), la CNIL doit être notifiée dans les 72 heures. L’information aux personnes concernées est également requise si la violation risque d’engendrer un problème pour leurs droits et libertés. Vous n’avez plus besoin d’installer des correctifs de sécurité ni des mises à niveau pour vos logiciels. Microsoft ajoute directement de nouveaux avantages et de nouvelles fonctionnalités tous les mois. 

Communiquer de façon sécurisée

Centraliser et contrôler l’accès aux documents RH, limiter l’usage de la messagerie pour communiquer des documents en pièce jointe, utiliser tant que possible des services SAAS pouvant être intégrés à un service d’annuaire… 

Gestion et contrôle de l’information

Le DRH doit prévoir la suppression ou l’archivage des candidatures non retenues. Un candidat est en droit de s’opposer à la collecte de ses données personnelles et dispose d’un droit de rectification. S’il accepte que ses données soient recueillies, ces dernières peuvent être sauvegardées pendant deux ans. Aussi, les candidats sont en droit de demander la mise à disposition des comptes-rendus d’entretiens. Il est strictement interdit de collecter des données personnelles qui directement ou indirectement font apparaître des origines raciales, ethniques, opinions politiques, philosophiques, religieuses, appartenances syndicales, informations sur la santé ou la vie sexuelle des personnes. Enfin, assurez-vous de la conformité réglementaire des contrats liant l’entreprise à des organismes de recrutement externes. 

Pour garantir la confidentialité des données, utilisez des moyens physiques et informatiques appropriés. Proposez un accès aux données personnelles contrôlé. Vous pouvez mettre en œuvre une demande d’accès, de rectification ou de suppression des données personnelles. 

Lors de départs de collaborateurs, prévoyez la suppression des données des anciens salariés selon la durée légale requise. 

Mise en place d’un plan de formation

L’employeur doit mettre en place un plan de formation des salariés à la thématique « Protection des données » en collaborant avec le délégué à la protection des données. Pour ce faire, il pourra tenir un registre de suivi des formations. 

Mise en place d’une charte RH interne pour éviter les dérives 

Cette charte aurait pour but de renforcer le droit des individus, poser un cadre des bonnes pratiques pour l’utilisation de solutions numériques dans le domaine des RH afin que les droits, libertés et sensibilités de chacun soient respectés. Cela permet une utilisation responsable des informations personnelles. La charte génère ainsi un climat de confiance entre les salariés et les DRH et responsabilise tous les acteurs quant aux traitements et à la sécurité de leurs données. 

Il convient de renforcer l’information auprès des salariés sur la durée de conservation des données, les finalités de leurs traitements, les cas de retours auprès de la CNIL. Les données détenues doivent être protégées. Une cartographie des données collectées et traitées doit être établie. 

 

Le potentiel de la « data » dans la Paie et surtout les Ressources humaines est infini. Mais l’aspect humain de celle-ci reste le plus important et doit absolument être protégé et respecté. 

 

Découvrez le Pack PME RGPD 

 

Articles les plus lus

Yourcegid RH promet un avenir fleurissant à Herboratum !

Les PME, quel que soit leurs secteurs d’activité ont des besoins et des exigences quant à la gestion de leur Paie et leurs Ressources Humaines. Cegid répond aux demandes de ces entreprises avec des solutions flexibles et modulaires, alliant technologies de l’information et expertise métier…

Lire l'article »

Windows 7: c’est fini!

L’arrêt du support étendu de Windows 7 prend fin le 14 janvier 2020. Désormais, il

Lire l'article »

Votre sécurité est-elle conforme au RGPD ?

L’Indice d’Hygiène Informatique (IHI) vous permet d’évaluer votre système d’information.  
La sécurité de votre informatique est-elle à la hauteur des enjeux du RGPD ?
Les informations que vous détenez sur vos clients sont-elles suffisamment protégées ? 
En bref, votre informatique est-elle prête pour la digitalisation ?  

Lire l'article »

Contenus les plus téléchargés

LE
GUIDE

Renseignez votre email pour recevoir notre guide « Le guide du fabricant sur la rentabilité grâce à la technologie » directement dans votre boite mail.

INFO
GRAPHIE

Renseignez votre email pour recevoir notre infographie « les 6 clés de la réussite des PME Industrielles » directement dans votre boite mail.

LIVRE
BLANC

Renseignez votre email pour recevoir notre livre blanc « Les 4 étapes essentielles pour mieux gérer sa production » directement dans votre boite mail.