RH et RGPD : quelles sont vos obligations ?

Notre Blog

RH et RGPD : quelles sont vos obligations ?

Ordinateur sécurisé

Entré en vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données, ou RGPD, a fait beaucoup de bruit. Pourtant, ce dernier reste encore incompris aux yeux du public comme des entreprises.

Pensé dans la continuité de la Loi française Informatique et Libertés de 1978, qui dictait jusque-là les règles en matière de collecte et d’utilisation des données en France, le RGPD a pour but d’encadrer l’usage des données sur l’ensemble du territoire européen.

Dans le monde de l’entreprise, il faut dire que leur utilisation est aussi complexe qu’essentielle. Équipes commerciales, marketing, RH… Nous sommes constamment en train de collecter ou d’archiver de nouvelles données, pour moult raisons. Quelles sont les obligations des RH vis-à-vis du RGPD ? Epsor vous résume tout ! 🤓

RGPD, pour quoi faire ?

L’objectif du RGPD est simple : être le texte de référence en matière de données personnelles, dans toute l’Union Européenne. Derrière cette idée, plusieurs besoins : d’une part, celui d’harmoniser la législation européenne, qui différait jusqu’alors selon les pays au sujet du traitement des données à caractère personnel. De l’autre, l’envie, aussi, de réguler des usages qui évoluent toujours plus vite. Dans notre monde digitalisé où règnent réseaux sociaux, objets connectés et navigations Internet en tout genre, il est apparu crucial de renforcer et d’unifier la protection des données des individus. 

🇫🇷 Sur le site du ministère de l’Économie, des Finances et de la Relance, on peut lire que le RGPD répond à trois objectifs : “renforcer les droits des personnes, responsabiliser les acteurs traitant des données, et crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.” 

RGPD : quel impact dans le monde de l’entreprise ? 

Tout d’abord, il faut savoir que le RGPD concerne toutes les entreprises établies en Union Européenne, ou visant des personnes se trouvant sur son territoire. Cette réglementation concerne donc également Google, Amazon, Facebook ou Apple dès lors qu’ils s’adressent à des habitants de l’Union Européenne.

🎉 Bonne nouvelle, donc : le RGPD vient rééquilibrer les rapports entre les entreprises étrangères et françaises, autrefois soumises à des règles divergentes en matière de données personnelles.

📌 À noter :

Depuis le RGPD, les entreprises n’ont plus à déclarer le traitement de données personnelles auprès de la CNIL, mais elles doivent, en revanche, se tenir prêtes à justifier que celui-ci est justifié, et ce, à n’importe quel moment !

Vis-à-vis du traitement des données, une entreprise peut être, soit : 

Responsable de traitement : il s’agit là de “la personne, l'autorité publique, la société ou l'organisme qui détermine les finalités et les moyens” des données à caractère personnel, comme expliqué sur le site de la CNIL (la Commission Nationale de l'Informatique et des Libertés).

Si le respect du RGPD engage tous les collaborateurs d’une entreprise, c’est l’employeur qui endosse le rôle de responsable de traitement. La responsabilité finale lui revient donc.

Sous-traitant : On parle ici de la personne (physique ou morale) qui manipule des données personnelles pour le compte d’un autre organisme (ce dernier est alors responsable de traitement), dans le cadre d’une prestation ou d’un service.

Une agence de développement web ou de communication est, par exemple, le sous-traitant de ses clients, d’un point de vue RGPD. Si, en revanche, cette même entreprise a recours à un SIRH (Système d'Information de gestion des Ressources Humaines) pour gérer la paie de ses employés, elle devient responsable de traitement vis-à-vis des informations collectées par le logiciel RH au sujet de ses employés.

Qu’elle soit responsable de traitement, sous-traitant ou les deux, une entreprise reste toujours responsable des données qui lui sont transmises. Elle doit être en mesure de prouver, à toute heure, son respect des exigences RGPD. 

D’ailleurs, en tant que responsable de traitement, une entreprise a l’obligation de mettre fin à toute collaboration avec un sous-traitant non conforme au RGPD.

💡 Lumière sur le concept d’Accountability :

C’est le principe majeur véhiculé par le RGPD. Selon la CNIL, il désigne « l'obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ».

Autrement dit, en se montrant “accountable”, soit responsable, tout employeur doit s’assurer de sa mise en conformité au RGPD et de l’application constante des consignes en vigueur. Comme la simple bonne volonté ne suffit pas,  l’employeur doit également  se donner les moyens de le prouver.

RGPD : quels changements côté RH ?

Si le RGPD soulève de nouveaux enjeux dans la fonction RH, c’est notamment en modifiant son rapport à la collecte des données. Désormais, les données personnelles recueillies dans le cadre d’un recrutement, par exemple, sont à étudier scrupuleusement. Le RGPD demande aux professionnels RH de se questionner notamment sur :

👉 Les documents absolument nécessaires à demander aux candidats.

👉 La nécessité ou non de mentionner certaines informations, comme le numéro de sécurité sociale du candidat. 

👉 Les documents à conserver, ainsi que leur durée de conservation. 

Less is more

Et c’est bien le moins que l’on puisse dire concernant les exigences du RGPD. Gardez en tête que les données personnelles que vous recueillerez au sujet de vos employés doivent être réduites au strict minimum.

📖 Selon l’article 5 DU RGPD, vous devez collecter les données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Leur collecte doit donc être motivée et répondre à un but précis. En bref, ne gardez que les données absolument nécessaires.

Lorsque vous collectez des informations, prenez l’habitude de vous poser ces questions : 

✔️ Ces données sont-elles pertinentes et absolument nécessaires ? 

✔️ Pendant combien de temps devrez-vous les conserver ? (Pour établir votre délai de conservation des données, n’hésitez pas à vous inspirer du droit du travail, ou des recommandations de la CNIL). 

✔️ Le salarié consent-il à véhiculer ces données, sans aucune contrainte ? 

✔️ Comprend-il le traitement qui sera fait de ses données ? 

Aussi, si votre entreprise compte plus de 250 salariés, vous êtes soumis à une obligation de tenue de registre, selon l’article 30 du RGPD

Qu’en est-il des SIRH et du RGPD ?

Vous avez choisi de simplifier la gestion de votre paie et des demandes de congés de vos employés avec un SIRH ? Super initiative ! En revanche, n’oubliez pas que vous confiez à ce logiciel des informations aussi essentielles que stratégiques au sujet de vos équipes. Soyez particulièrement attentifs à la protection de leurs données. 

Tout SIRH digne de ce nom doit assurer la confidentialité et la sécurité de vos données. Il est de votre obligation, néanmoins, de vous assurer que le logiciel respecte bien ses engagements. 

Saviez-vous, par ailleurs, que vos salariés ont des droits, quant aux données que vous collectez et communiquez à des tiers ? Vous êtes dans l’obligation de permettre à vos recrues d’exercer ces droits. 

📖 Selon l’article 15 du RGPD, tout employé dispose d’un droit d’accès à l’égard des informations à caractère personnel qui sont véhiculées à son sujet, de manière gratuite et dans un délai d’un mois. Vos salariés doivent donc être en mesure de vous réclamer un accès à ces données personnelles.

📖 Selon l’article 16 du RGPD, vos équipes disposent aussi d’un droit de rectification. S’il s’avérait que certaines informations à caractère personnel communiquées sont incorrectes, l’employé est en droit de réclamer la rectification de ces données.

📖 Selon l’article 17 du RGPD, le responsable de traitement doit également garantir à l’employé qui le souhaite un droit à l’oubli - c’est notamment pertinent pour les collaborateurs quittant votre entreprise. 

📖 Selon l’article 21 du RGPD, l’employé peut faire valoir son droit d’opposition et s’opposer à la collecte de ses données. Son motif, en revanche, doit être légitime.

“Dois-je systématiquement demander le consentement de mes collaborateurs quand je fais appel à des outils externes ?”

Eh bien… non, pas vraiment ! Si la notion de consentement prend une place importante dans le RGPD, on considère qu’elle n’est pas pertinente dans le monde interne de l’entreprise. La raison est simple : dans une relation « employeur/employé », le consentement est biaisé, et ne peut avoir de réelle valeur juridique. 

📖 Selon l’article 6 du RGPD, on considère que le traitement de données personnelles est licite dès lors que le responsable du traitement réunit un critère parmi les six exposés par la CNIL.

Voici, non pas un, mais deux fondements qui justifieraient le traitement des données personnelles de vos équipes : 

  • D’un côté, l’exécution du contrat de travail liant vos salariés à l’entreprise. 
  • De l’autre, vos obligations légales en tant qu’employeur vis-à-vis de vos salariés (déclaration d’embauche, souscription d’une mutuelle, etc.).

💡 Bon à savoir :

Toute entreprise signalée auprès de la CNIL qui serait coupable d’un non-respect du RGPD s’expose à une amende, qui, en fonction des infractions commises, peut aller jusqu’à 20 millions d’euros, ou représenter jusqu’à 4 % du chiffre d’affaires de l’entreprise.

La mesure, qui se veut dissuasive, aspire ainsi à protéger les habitants de l’Union Européenne du vol ou du piratage de leurs données et d’usurpations d’identité potentielles.

Digitaliser la fonction RH - Consacrez plus de temps à ce qui importe le plus : vos collaborateurs !

Les bonnes pratiques RH à adopter pour un RGPD maîtrisé

✅ N’hésitez pas à désigner un DPO (Data Protection Officer, soit le délégué à la protection de vos données). Ce dernier peut être un salarié de votre entreprise (des compétences techniques ainsi qu’une certaine expertise dans le domaine seront alors de mise), un prestataire extérieur, ou même un cabinet d’avocats ! Si la démarche n’est pas obligatoire, elle est vivement recommandée par la CNIL.

✅ Sensibilisez vos salariés au sujet du RGPD : voyez-les comme des acteurs vous permettant de façonner un cadre de travail rimant avec sécurité et respect de la vie privée. Intégrez-les dans vos démarches de conformité RGPD !

✅ Définissez une politique de traitement des données, et n’y dérogez pas. Profitez-en pour supprimer certaines démarches chronophages et pour rationaliser vos processus. Pour ce faire, réduisez autant que possible les données que vous collectez, limitez leur durée de conservation, optimisez vos espaces de stockage informatique…

✅ Réalisez une cartographie de vos traitements des données personnelles. Le but ? Pouvoir suivre l’usage que votre entreprise en fait ensuite, depuis la collecte des données jusqu’à leur suppression ! 

Souvent vu comme une contrainte, le RGPD est en réalité une belle opportunité, qui vous permet de garantir le respect de la vie privée de vos employés et de vos clients.

En apportant une attention toute particulière à sa bonne application, vous vous donnez les moyens d’augmenter la performance de votre entreprise, puisque vous réduisez vos démarches administratives, garantissez plus de transparence à vos équipes et placez le droit de vos salariés au cœur de vos préoccupations. Autant de démarches qui contribuent, au final, à valoriser votre marque employeur

Demander une démo de la solution d'épargne salariale et retraite d'Epsor