Le RGPD et les RH : comment présenter simplement ce qui semble compliqué ?
30 août 2018
Le RGPD, fraîchement applicable, a donné lieu à une transposition en droit français : loi, décret, ordonnance à venir, etc. Quelles sont les normes applicables et que prévoient-elles ? Tour d’horizon juridico-pratique de l’impact RGPD dans les RH.
Les sources juridiques du droit de la protection des données personnelles
Un court rappel est nécessaire. Le règlement européen relatif à la protection des données personnelles dit RGPD (UE, 2016/679) du 27 avril 2016 est entré en vigueur dans toute l’Union Européenne le 25 mai 2018. La protection des données personnelles doit donc être mise en place au sein de chaque entreprise (même unipersonnelle). Il a été décidé de transposer ce règlement en droit français. Ainsi la loi n°2018-493 a été votée le 20 juin 2018 en adaptant la loi informatique et libertés de 1978 déjà existante. Son décret d’application (n°2018-687) est paru le 3 août 2018. En outre, le gouvernement a été habilité à légiférer par ordonnance pour simplifier ces dispositions… L’avenir nous dira si la compréhension et l’application du RGPD en seront simplifiées.
En attendant, nous vous proposons d’ores et déjà une présentation pragmatique des principales implications du RGPD dans la gestion quotidienne des ressources humaines, RH.
La réalité du RGPD
Avant d’entrer dans le cœur du sujet, rappelons que les premières plaintes relatives à la protection des données personnelles s’appuyant sur le RGPD ont déjà été déposées fin mai 2018 notamment en France auprès de la Commission nationale de l’informatique et des libertés (CNIL). Aussi, les thématiques abordées et actions recommandées ici ne relèvent pas d’un futur proche ou incertain mais s’ancrent au contraire déjà dans le quotidien des entreprises.
En outre, en 2017, sur plus de 8 000 plaintes, 16% étaient liées aux ressources humaines. Dans le mois qui a suivi l’entrée en vigueur du RGPD le nombre de dépôt de plaintes a connu une augmentation de 100%. Ainsi, la mise en conformité des traitements avec le RGPD donne l’opportunité de régler deux problèmes en une fois : celui du RGPD et celui des impacts RH et des contentieux potentiels en découlant, contentieux et problématiques qui ne feront qu’augmenter dans le futur proche semble-t-il.
Les étapes importantes
Concrètement, le respect du RGPD dans la gestion des ressources humaines se manifestera à travers la gestion de la vie du contrat de travail : recrutement et embauche (quels documents demander aux candidats, dans quels documents doit-on ou non mentionner le NIR – numéro de sécurité sociale -, quels documents conserver et pour combien de temps, etc.), gestion du contrat de travail (progression de carrière, sanctions disciplinaires, organisation du travail, santé et sécurité au travail, etc.) et rupture du contrat de travail.
De manière générale, les données recueillies devront être réduites au minimum et leur traitement proportionné à la finalité de leur collecte. La transparence de la gestion de ces données est de mise : la CNIL n’a plus à être consultée avant tout traitement, désormais, l’entreprise (l’employeur) décide seul des traitements mis en place mais il en est responsable et doit pouvoir les justifier en cas de contrôle de la CNIL.
Les questions à se poser lors du recueil de données sont notamment les suivantes : les informations recueillies sont-elles pertinentes ? Combien de temps doivent-elles être gardées ? Les informations portées sur les contrats de travail ou documents de rupture sont-elles opportunes ? Que faire des e-mails du salarié parti de l’entreprise : archivage ou suppression ? Etc.
Ces contraintes, notamment de minimalisation des données collectées, peuvent être perçues comme une opportunité de redéfinir les processus RH, de les optimiser (moins de documents, gardés moins longtemps), de les automatiser (mise en place de suppressions automatiques de données anciennes par exemple) et de les sécuriser.
Les points d’attention nécessaires
La gestion des RH doit être croisée avec un audit et une mise en conformité des pratiques de l’entreprise, toutes activités et départements confondus.
Néanmoins, certains thèmes RH doivent particulièrement attirer votre attention. Il s’agit de :
-
- la durée de conservation des données personnelles traitées ;
-
- l’information des salariés des traitements mis en œuvre (droits de la personne concernant ses données, information des finalités du traitement, des destinataires des données, de la durée de conservation des données ou des critères déterminant cette durée de conservation, etc.)
-
- la gestion des relations avec les partenaires extérieurs des RH (prestataires de paie, cabinets de recrutement, etc.) qui doivent également être impliqués dans ce processus de conformité : signature de contrats de sous-traitance intégrant les exigences du RGPD, certifiant le respect par les sous-traitants du RGPD, définissant précisément les responsabilités de chacun (responsable du traitement et sous-traitants) ;
-
- la sécurisation des données traitées et leur confidentialité (par exemple, gérer informatiquement les habilitations d’accès aux données).
Les points d’attention recommandés
Selon votre activité, les traitements effectués ou la taille de votre entreprise, d’autres mesures peuvent être mises en œuvre :
-
- désignation d’un DPO (Officier ou « Délégué » à la protection des données) qui peut être soit un salarié de l’entreprise, soit un prestataire extérieur, notamment un cabinet d’avocat. Le responsable de traitement (l’employeur) peut lui déléguer plusieurs tâches relatives au RGPD et il sera notamment l’interlocuteur privilégié des salariés ;
-
- rédaction d’un engagement de confidentialité des salariés gérant des données sensibles ;
-
- gestion des contrats de sous-traitance de données personnelles avec des recruteurs qui utilisent des méthodes de profilage et/ou d’intelligence artificielle et plus généralement faire attention à toute utilisation d’intelligence artificielle sur les données traitées et à l’export de données personnelles hors Union Européenne (sécurisation de l’export via l’instauration de BCR – binding corporate rules – entre sociétés par exemple) ;
-
- réalisation d’une analyse d’impact pour des traitements risquant d’apporter une atteinte sérieuse aux droits des salariés.
L’employeur est responsable du traitement : comment gérer sa responsabilité ?
L’employeur est responsable du traitement de données mais il n’est pas le seul acteur qui peut ou qui doit intervenir. Les salariés et représentants du personnel aussi doivent respecter le RGPD. Comment éviter des erreurs (ou s’assurer que chacun prenne ses responsabilités) ?
L’entreprise traite des données mais ses salariés (notamment les salariés des fonctions RH) les manipulent également. Former les salariés au RGPD est une bonne pratique : tous les fichiers qu’ils créent doivent ainsi être déclarés, cartographiés et répertoriés, même un simple fichier Excel, dès lors qu’il comporte des données personnelles (exemple : nom permettant d’identifier une personne) constitue une donnée personnelle. Vous devez les sensibiliser à cette question pour que chacun assume sa part de responsabilité dans l’application du RGPD.
Comment éviter que les syndicats ou les représentants du personnel intentent une action en justice ou déposent une plainte pour non-respect du RGPD ? En les associant à la mise en conformité de la société. Cela peut notamment se faire via l’information-consultation du comité social et économique (CSE) ou du comité d’entreprise (CE) (lors de la réalisation d’une analyse d’impact d’un traitement particulier notamment) et/ou la signature d’un accord d’entreprise notamment avec les délégués syndicaux.
Exemples des possibilités d’implication des syndicats et représentants du personnel :
-
- charte informatique (et contrôle de l’utilisation du matériel informatique par les salariés) ;
-
- règlement intérieur (contrôle des accès aux locaux, vidéosurveillance, géolocalisation, usage du téléphone, contrôle des horaires de travail, utilisation de badges, code de conduite, etc.) ;
-
- accord relatif à la transmission de données personnelles entre la société et le CSE/CE.
Ces pratiques et leur gestion via une approche RGPD seront mieux comprises et surtout moins remises en question si elles ont reçu l’aval des représentants du personnel et/ou des syndicats de l’entreprise.
Les partenaires extérieurs des RH doivent également être sollicités dans cette démarche de conformité ainsi que vu plus haut.
Transformer la contrainte en opportunité
Une utilisation habile du RGPD consisterait à transformer les personnes avec lesquelles vous pourriez avoir des conflits (salariés, syndicats, représentants du personnel) en partenaires et acteurs de votre conformité au RGPD. Il pourrait être envisagé une information de ces interlocuteurs pour leur faire prendre conscience des enjeux et de leurs responsabilités en la matière et les intégrer à votre démarche de compliance.
Le RGPD doit être implémenté au sein de chaque entreprise. Néanmoins selon la taille de l’entreprise, les types de données traitées, le volume de données traitées, chaque entreprise peut définir sa propre politique de gestion de ces données. Cette possibilité de « personnaliser » ces normes dans une certaine mesure fait que nous recommandons que les entreprises s’emparent du RGPD et s’en servent pour alléger voire sécuriser certaines démarches ou procédures et, au final, simplifier leur quotidien (minimisation des données collectées, durée de conservation des données revue à la baisse, espace de stockage informatique ou d’archivage papier optimisé, etc.).
La réalisation d’un audit puis d’une cartographie des traitements et enfin d’un registre des traitements sont des étapes nécessaires. Elles seront très instructives et utiles à l’élaboration de votre politique RGPD.
Article publié dans les Echos Executives du 30/08/2019
A lire également
Evolution du statut protecteur en cours de procédure de rupture du contrat de t... 16 février 2017 | CMS FL
Comment rémunérer les inventions de salariés ?... 14 mars 2017 | CMS FL
Que nous reste-t-il du G29 ? 13 septembre 2018 | CMS FL
La clause de mobilité : où faut-il s’arrêter ?... 15 octobre 2014 | CMS FL
Sur la possibilité d’appliquer la loi nationale sur la protection des donnée... 23 février 2016 | CMS FL
Durée de la période d’essai, entre dispositions légales et normes conventio... 7 mars 2017 | CMS FL
Indemnité de licenciement à la suite d’un arrêt maladie : une méthode ... 1 août 2017 | CMS FL
Licenciement d’un salarié protégé : l’accord de performance colle... 30 septembre 2019 | Pascaline Neymond
Articles récents
- L’action en nullité d’un accord collectif est ouverte au CSE
- Complémentaire santé : vigilance sur la rédaction des dispenses d’adhésion
- Précisions récentes sur la portée de l’obligation de sécurité de l’employeur dans un contexte de harcèlement
- La jurisprudence pragmatique du Conseil d’Etat en matière de PSE unilatéral : Délimitation du périmètre du groupe (Partie I)
- Détachement, expatriation, pluriactivité : quelques nouveautés en matière de mobilité internationale
- Avenant de révision-extinction d’un accord collectif : « Ce que les parties ont fait, elles peuvent le défaire »
- Dialogue social et environnement : la prise en compte des enjeux environnementaux à l’occasion des négociations collectives d’entreprise
- L’accès de l’expert-comptable du CSE aux informations individuelles relatives aux salariés lors de la consultation sur la politique sociale de l’entreprise
- Conférence : Sécuriser vos pratiques pour limiter les risques juridiques dans l’entreprise (risque pénal, congés payés, RPS)
- Le recours à un client mystère : une méthode de contrôle loyale à condition d’être transparente