Les données à caractère personnel RH au regard du RGPD

concept sécurité de donnée

Entré en vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données ou RGPD concerne les entreprises, les collectivités territoriales, les associations et les administrations. Elles sont donc tenues de se mettre en conformité avec cette loi.

Dans ce processus, on insiste surtout sur la protection des données à caractère personnel des clients, des fournisseurs, des patients et des administrés, pendant que celles des employés sont négligées. Mais si le RGPD a été conçu pour regagner la confiance des citoyens concernant la gestion de leurs données personnelles, il ne faut pas non plus oublier que la plupart d’entre eux ont un employeur, qui a la responsabilité de sécuriser leurs données.

Pourquoi les données personnelles des RH sont importantes ?

Certes, la plupart des scandales sur la violation de la vie privée concernent les données personnelles du public. Toutefois, on peut aussi mentionner les établissements comme Ikea, qui étaient accusés d’espionner leurs salariés. Et même s’il est question de données personnelles RH, cela peut impacter les clients.

De ce fait, le RGPD touche aussi les données personnelles des salariés. D’ailleurs, vu que l’application de ce règlement est limitée par des frontières, la question est encore plus complexe. En effet, il est applicable tant que les personnes concernées résident dans l’Union Européenne. Il faut donc considérer cette modalité pour toute entreprise en-dehors de l’UE, employant des salariés frontaliers qui habitent par exemple en France. Dans ce cas, il est important d’assurer la mise en confirmité rgpd, en usant d’un SIRH adapté.

De plus, les données personnelles des salariés peuvent être à caractère plus privé, comparées à celles qui sont divulguées tous les jours. Ces dernières peuvent porter sur :

  • Leur entourage familial
  • Leur rémunération
  • Leurs données sensibles (appartenance syndicale, informations de santé, informations fiscales…)
  • Leurs évaluations annuelles…

D’une grande importance, le traitement des données RH intervient à tout moment de la vie du salarié :

  • Quand il est recruté
  • Quand il prend son poste
  • Quand on gère sa paie
  • Quand il est absent ou en vacances
  • Quand sa performance est gérée
  • Quand il quitte l’entreprise

Le recours à un logiciel RGPD est la meilleure solution pour garantir le respect des principes de protection des données personnelles dans les RH.

5 pratiques à adopter pour se mettre en conformité

Les 5 pratiques suivantes doivent être adoptées pour être en conformité. Elles doivent être couplées à l’utilisation d’un SIRH performant, permettant de s’assurer que les principes de protection de données soient respectés.

La limitation des données

Si l’employeur doit stocker de nombreuses données personnelles, il doit se limiter à celles indispensables pour l’objectif visé. Au moment du recrutement, seules les données qui vont permettre d’évaluer les compétences du candidat doivent être recueillies. Les autres informations complémentaires ne sont utiles à l’employeur que lorsque le candidat est embauché. On peut citer le numéro de sécurité sociale. En fonction de la nature de l’emploi, l’employeur peut aussi demander un extrait de casier judiciaire. Toutefois, ce document ne peut être conservé.

Le respect de la durée de conservation

Les données ne peuvent être conservées indéfiniment. Elles doivent uniquement servir l’objectif principal de collecte de départ, répondre aux obligations légales ou être destinées à l’exécution du contrat de travail. Ce principe concerne aussi bien les données des candidats qui ne sont pas retenus pour le poste, que celles relatives à la paie. Préférez utiliser un seul logiciel pour définir des durées de conservation précises. Ainsi, quand une donnée doit être supprimée, il s’en chargera automatiquement.

L’information des salariés et l’acquisition de leur consentement

En plus d’informer les salariés et les candidats sur l’utilisation de leurs données, l’employeur doit aussi demander leur consentement pour ce faire. Ils doivent donc connaître l’identité du responsable de traitement, l’objectif de la collecte des données, leurs destinataires et la possibilité d’exercer leurs droits par rapport à ces informations. D’ailleurs, les personnes concernées doivent donner leur consentement de façon claire.

Le respect des droits

Les personnes concernées doivent être libres d’exercer leurs droits vis-à-vis de leurs données. C’est d’ailleurs la raison d’être du RGPD. Pour cela, les salariés doivent pouvoir s’adresser au RH pour l’exercice de leurs droits. On distingue :

  • Le droit d’accès
  • Le droit à la portabilité
  • Le droit de rectification
  • Le droit à l’oubli…

La protection des dossiers

L’accès aux données est un point très important. C’est pourquoi, l’utilisation d’un SIRH est d’autant plus importante. Dans cet outil, les accès des membres du service sont différents selon leur poste et l’usage qu’ils feront des données. Quoi qu’il en soit, l’ensemble des acteurs de l’entreprise est concerné par l’application du RGPD. Cela implique de repenser les processus et le mode de fonctionnement des services.