Enjeux et impacts du RGPD sur les données RH

Le RGPD envahit tous les domaines et les ressources humaines ne font pas exception à la règle. Ainsi, elles doivent être particulièrement vigilantes au respect et à la protection des données des salariés. 

Toute la vie du collaborateur est concernée, depuis sa candidature lors du recrutement, en passant par son contrat de travail, ses évolutions et sa vie de salarié (demande de congés maternités ou autres), jusqu’à son départ

Pour appréhender l’ensemble des problématiques, il est indispensable de se poser les bonnes questions. Qui est concerné ? Quelles sont les conséquences du RGPD sur les données RH ? Quelles sont les pistes pour se mettre en conformité ?

RGPD et RH : qui est concerné ?

La portée du RGPD RH 

Toute structure qui emploie une personne est forcément soumise au RGPD. Peu importent la taille, la localisation ou le chiffre d’affaires. Toutes les entreprises obéissent aux mêmes contraintes réglementaires concernant le traitement des données des salariés.

Le terme de “salarié” englobe les collaborateurs permanents ou temporaires, quels que soient leur statut, leur type ou durée de contrat, leur niveau de rémunération.

Enfin, le traitement des données doit remplir un objectif de gestion du personnel comme le recrutement, la gestion administrative des effectifs et des revenus, la mise à disposition d'outils professionnels, l’organisation du travail, le suivi des carrières et de la mobilité, la  formation, la tenue des registres obligatoires, rapports avec les instances représentatives du personnel, etc.

Les données concernées par le RGPD RH

L’entreprise ne peut collecter que les données pertinentes dont elle a strictement besoin. Autrement dit, elle ne peut pas les utiliser pour un autre objectif que celui prévu initialement. 

Parmi les données classiques RH, on y trouve par exemple : 

  • l’identification de l’employé ;
  • l’évaluation des compétences du candidat au moment du recrutement ; 
  • le suivi de carrière et de la formation de l’employé ;
  • l’établissement de la fiche de paie et aux obligations légales connexes (notamment, dans le cadre du prélèvement à la source, le taux d’imposition) ;
  • la gestion des déclarations d'accident du travail et de maladie professionnelle, à la gestion des arrêts de travail et autres cas d’absences autorisées et au suivi des visites médicales de l’employé.

L’idée phare du RGPD à retenir ? Demander, utiliser et conserver une information sur un salarié n’est possible qu'à condition qu’elle soit nécessaire pour la gestion des données RH.

Impact du RGPD sur les données RH

L’application du RGPD a bien évidemment des conséquences pour l’entreprise. En effet, pour devenir conformes aux exigences du RGPD, des actions doivent être mises en place pour protéger au mieux les données personnelles des salariés.

Définir les bases légales pour justifier la récolte des données RH

La justification est bel et bien le fondement de toute collecte de données RH. Ainsi, il est capital que l’entreprise s’appuie sur une base légale pour demander une information au salarié.

Voici celles qui sont les plus courantes : 

  • l’exigence d’une obligation légale (exemple : la tenue d’un registre unique du personnel) ; 
  • l’exécution d’un contrat auquel la personne concernée est partie (exemple : organisation de la mobilité professionnelle ou bien encore gestion du dossier professionnel des employés, etc.) ; 
  • la mise en place de mesures pré-contractuelles (exemple : traitement des CV et lettre de motivation) ;
  • l’intérêt légitime de l’entreprise sous réserve de ne pas méconnaître l’intérêt du collaborateur (exemple : gestion de la messagerie électronique ou bien encore organisation des sessions de formation, etc.).

Par ailleurs, le consentement libre et éclairé est tout à fait utilisable mais dans des situations exceptionnelles. Tel est le cas si la personne apparaît dans un clip promotionnel de l’entreprise. Dans l'hypothèse d'un clip promotionnel, l'employeur doit passer un contrat avec l'employé pour son droit à l'image. L'employé peut refuser certes mais c'est un refus de contracter. S'il accepte, le traitement sera fondé sur le contrat (droit à l'image) et non pas le consentement. 

De plus, le consentement est rarement considéré comme librement donné dans des rapports de force déséquilibré en particulier dans un rapport employé/ employeur. C'est pour cette raison que cette base légale existe rarement dans les traitements RH.

Informer et permettre des droits effectifs aux salariés sur leurs données RH

L’employeur a l’obligation de respecter des principes de transparence et de loyauté à l’égard des salariés qui lui confient leurs données. La première étape est de les informer, par écrit de préférence, lors de la collecte des données, sur le traitement qui va en être fait et les droits dont ils disposent parmi lesquels :

L’ensemble des droits “classiques” énumérés par le RGPD peuvent être exercées par le collaborateur, à charge pour l’employeur ou le DPO, d’une part de trouver une organisation optimale pour faire droit à la demande et d’autre part de connaître la réglementation pour savoir si des objections peuvent lui être opposées (intérêt légitime de l’entreprise, obligation légale, etc.).

Surveiller les destinataires des données RH

Ici, il s’agit d’identifier clairement qui a accès aux informations des collaborateurs. Ces derniers ne sont traités que par les personnes qui y sont autorisées du fait de leur fonction. C’est un grand classique du RGPD.

Classiquement on y trouve les gestionnaires de paies, les chargés de recrutement, les juristes en droit du travail et pour les structures plus petites l’assistance administrative ou bien encore le CEO lui-même.

D’autres organismes habilités par la loi ont également accès aux données RH comme les instances représentatives du personnel, les organismes gérant les différents systèmes d'assurances sociales, d'assurances chômage, de retraite et de prévoyance, les caisses de congés payés, les entités chargées de l’audit et du contrôle financier de l’organisme employeur, etc.

Les entreprises doivent également porter une attention particulière aux outils qu’ils utilisent surtout si ces derniers ne sont pas sur le sol de l’UE. Cela signifie que les données seront transférées hors UE. Dans une telle hypothèse, l'employeur est tenu de s'assurer que le pays destinataire de ces données assure une protection des données égale à celle du RGPD. Ces pays bénéficient d'une "décision d'adéquation". En l'absence d'une telle décision, l'employeur doit s'assurer que le contrat qu'il le lie à cet outil prévoit des garanties particulières à travers les clauses contractuelles types ("CCT") en protection des données ou binding corporate rules ("BCR") ou d'autres clauses similaires.

Sécurité et conservation des données RH

Si l’employeur n’avait à respecter que des règles relatives à la récolte des données, la tâche serait relativement aisée. Mais, en réalité, le RGPD va bien plus loin concernant les données RH.

RGPD et sécurité des données RH, un sujet central

En effet, quel est l’intérêt de traiter des données de façon drastique si ces dernières sont facilement accessibles à tous, falsifiables ou endommageables ? Il est alors logique que l’entreprise prenne toutes les mesures de sécurité indispensables au regard des risques présentés au moment de la collecte, la transmission et la conservation des données.

Le référentiel de la CNIL évoque plusieurs catégories de protection : sensibilisation et authentification des utilisateurs, gestion des habilitations, traçabilité des accès et gestion des incidents, sécurisation des postes de travail, protection du réseau informatique et de l’informatique mobile. 

RGPD et conservation des données RH, des durées plus ou au moins longues

L’employeur ne peut garder indéfiniment les données à caractère personnel de ses salariés. 

La conservation n’est possible que le temps strictement nécessaire à la réalisation des finalités poursuivies. Cette durée doit même être définie en amont pour en informer l’intéressé.

Néanmoins, il est souvent indispensable de créer des archives intermédiaires distinctes de la base active pour obéir à des contraintes législatives ou réglementaires spécifiques.

Exemples :

Bulletin de salaire 

  • Base active = 1 mois 
  • Archivage intermédiaire = 5 ans ou 50 ans en version dématérialisée

Registre unique du personnel

  • Base active =  durée pendant laquelle le salarié fait partie des effectifs
  • Archivage intermédiaire = 5 ans à compter du départ du salarié 

RGPD RH : comment se mettre en conformité

Les ressources humaines ont tout intérêt à définir un système efficace pour traiter les données car tous les documents provenant ou à destination des salariés sont concernés : les notes de frais, les arrêts de travail, les justificatifs d’absence, etc.

Voici selon Leto les 5 briques à poser : 

  1. Recenser toutes les données collectées, vérifier les buts poursuivis, rechercher les bases légales pour justifier la récolte et le traitement des données (à intégrer dans la tenue des registres) ;
  2. Mettre en place une méthodologie sur ces questions de traitement des données et veiller à la sécurité de ces dernières avec le DSI ;
  3. Rédiger des documents pour informer les salariés sur le devenir de leurs données et les droits dont ils disposent ;
  4. Former les équipes RH sur les questions de sécurité et les aider à lister tous les sous-traitants à qui sont transférées les données ; 
  5. Se munir d’un logiciel qui pourra retrouver n’importe quelle donnée, la supprimer ou l’archiver selon les règles en vigueur.

Un logiciel RGPD pensé pour les équipes RH

Demander une démo gratuite

Gagnez du temps avec notre logiciel RGPD

Ne passez plus des heures à créer et mettre à jour votre registre de données. Gagnez du temps avec une checkliste RGPD dont les actions à mener sont déjà automatisées !

Inventaire automatisé des données personnelles présentes dans toutes vos applications (crm, rh, produit, finances ...)

Gestion des sous-traitants automatisée : nous maintenons à jour pour vous votre documentation (DPA des sous-traitants ...).

Suppression et modification automatisée des données personnelles d'un utilisateur à sa demande.

Synchronisation automatique des tâches de votre feuille de route Privacy avec vos outils de gestion de projet (Jira ...).

Demander une démo gratuite

Construisez une relation de confiance avec vos clients.

Notre vision : faire de la conformité aux règles de protection des données personnelles un avantage compétitif majeur pour les entreprises en construisant une relation de confiance avec les clients.

Vos clients disposent d'une interface dédiée pour exercer leurs droits en matière de protection des données. 100% no code.

Affichez vos ambitions en matière de protection des données personnelles

Demander une démo gratuite

Un outil RGPD pour sensibiliser vos collaborateurs

Initier les collaborateurs au RGPD à leur arrivée dans l'organisation, c'est bien. 
Mais, êtes-vous sûr de l'impact sur leur comportement au quotidien ? 
Disposez-vous d'éléments quantitatifs pour évaluer la maturité de vos équipes ?
Leto apporte une solution simple, ultra-personnalisée et sur auto-pilote pour faire monter en maturité vos équipes sur la protection des données personnelles.

Une banque de 500 questions de mise en situation

Personnalisation et création de questions sur-mesure relative à votre activité

Pilotage automatisé de la sensibilisation avec une approche micro-learning

Tableau de bord des résultats

Comparatif avec les maturités des organisations du même secteur

Demander une démo gratuite

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre