Enjeux et impacts du RGPD sur les données RH

Le RGPD envahit tous les domaines et les ressources humaines ne font pas exception à la règle. Ainsi, elles doivent être particulièrement vigilantes au respect et à la protection des données des salariés. 

Toute la vie du collaborateur est concernée, depuis sa candidature lors du recrutement, en passant par son contrat de travail, ses évolutions et sa vie de salarié (demande de congés maternités ou autres), jusqu’à son départ

Pour appréhender l’ensemble des problématiques, il est indispensable de se poser les bonnes questions. Qui est concerné ? Quelles sont les conséquences du RGPD sur les données RH ? Quelles sont les pistes pour se mettre en conformité ?

RGPD et RH : qui est concerné ?

La portée du RGPD RH 

Toute structure qui emploie une personne est forcément soumise au RGPD. Peu importent la taille, la localisation ou le chiffre d’affaires. Toutes les entreprises obéissent aux mêmes contraintes réglementaires concernant le traitement des données des salariés.

Le terme de “salarié” englobe les collaborateurs permanents ou temporaires, quels que soient leur statut, leur type ou durée de contrat, leur niveau de rémunération.

Enfin, le traitement des données doit remplir un objectif de gestion du personnel comme le recrutement, la gestion administrative des effectifs et des revenus, la mise à disposition d'outils professionnels, l’organisation du travail, le suivi des carrières et de la mobilité, la  formation, la tenue des registres obligatoires, rapports avec les instances représentatives du personnel, etc.

Les données concernées par le RGPD RH

L’entreprise ne peut collecter que les données pertinentes dont elle a strictement besoin. Autrement dit, elle ne peut pas les utiliser pour un autre objectif que celui prévu initialement. 

Parmi les données classiques RH, on y trouve par exemple : 

• l’identification de l’employé ;
• l’évaluation des compétences du candidat au moment du recrutement ; 
• le suivi de carrière et de la formation de l’employé ;
• l’établissement de la fiche de paie et aux obligations légales connexes (notamment, dans le cadre du prélèvement à la source, le taux d’imposition) ;
• la gestion des déclarations d'accident du travail et de maladie professionnelle, à la gestion des arrêts de travail et autres cas d’absences autorisées et au suivi des visites médicales de l’employé.

L’idée phare du RGPD à retenir ? Demander, utiliser et conserver une information sur un salarié n’est possible qu'à condition qu’elle soit nécessaire pour la gestion des données RH.

Impact du RGPD sur les données RH

L’application du RGPD a bien évidemment des conséquences pour l’entreprise. En effet, pour devenir conformes aux exigences du RGPD, des actions doivent être mises en place pour protéger au mieux les données personnelles des salariés.

Définir les bases légales pour justifier la récolte des données RH

La justification est bel et bien le fondement de toute collecte de données RH. Ainsi, il est capital que l’entreprise s’appuie sur une base légale pour demander une information au salarié.

Voici celles qui sont les plus courantes : 

• l’exigence d’une obligation légale (exemple : la tenue d’un registre unique du personnel) ; 

• l’exécution d’un contrat auquel la personne concernée est partie (exemple : organisation de la mobilité professionnelle ou bien encore gestion du dossier professionnel des employés, etc.) ; 

• la mise en place de mesures pré-contractuelles (exemple : traitement des CV et lettre de motivation) ;

• l’intérêt légitime de l’entreprise sous réserve de ne pas méconnaître l’intérêt du collaborateur (exemple : gestion de la messagerie électronique ou bien encore organisation des sessions de formation, etc.).

Par ailleurs, le consentement libre et éclairé est tout à fait utilisable mais dans des situations exceptionnelles. Tel est le cas si la personne apparaît dans un clip promotionnel de l’entreprise. Dans l'hypothèse d'un clip promotionnel, l'employeur doit passer un contrat avec l'employé pour son droit à l'image. L'employé peut refuser certes mais c'est un refus de contracter. S'il accepte, le traitement sera fondé sur le contrat (droit à l'image) et non pas le consentement. 

De plus, le consentement est rarement considéré comme librement donné dans des rapports de force déséquilibré en particulier dans un rapport employé/ employeur. C'est pour cette raison que cette base légale existe rarement dans les traitements RH.

Informer et permettre des droits effectifs aux salariés sur leurs données RH

L’employeur a l’obligation de respecter des principes de transparence et de loyauté à l’égard des salariés qui lui confient leurs données. La première étape est de les informer, par écrit de préférence, lors de la collecte des données, sur le traitement qui va en être fait et les droits dont ils disposent parmi lesquels :

• droit d’accéder facilement à leurs données ;
• droit de s’opposer au traitement lorsqu’il existe une raison relevant d’une situation particulière ;
• droit à la portabilité des données (copie des données)  ;
• droit à l’effacement des données.

L’ensemble des droits “classiques” énumérés par le RGPD peuvent être exercées par le collaborateur, à charge pour l’employeur ou le DPO, d’une part de trouver une organisation optimale pour faire droit à la demande et d’autre part de connaître la réglementation pour savoir si des objections peuvent lui être opposées (intérêt légitime de l’entreprise, obligation légale, etc.).

Surveiller les destinataires des données RH

Ici, il s’agit d’identifier clairement qui a accès aux informations des collaborateurs. Ces derniers ne sont traités que par les personnes qui y sont autorisées du fait de leur fonction. C’est un grand classique du RGPD.

Classiquement on y trouve les gestionnaires de paies, les chargés de recrutement, les juristes en droit du travail et pour les structures plus petites l’assistance administrative ou bien encore le CEO lui-même.

D’autres organismes habilités par la loi ont également accès aux données RH comme les instances représentatives du personnel, les organismes gérant les différents systèmes d'assurances sociales, d'assurances chômage, de retraite et de prévoyance, les caisses de congés payés, les entités chargées de l’audit et du contrôle financier de l’organisme employeur, etc.

Les entreprises doivent également porter une attention particulière aux outils qu’ils utilisent surtout si ces derniers ne sont pas sur le sol de l’UE. Cela signifie que les données seront transférées hors UE. Dans une telle hypothèse, l'employeur est tenu de s'assurer que le pays destinataire de ces données assure une protection des données égale à celle du RGPD. Ces pays bénéficient d'une "décision d'adéquation". En l'absence d'une telle décision, l'employeur doit s'assurer que le contrat qu'il le lie à cet outil prévoit des garanties particulières à travers les clauses contractuelles types ("CCT") en protection des données ou binding corporate rules ("BCR") ou d'autres clauses similaires.

Sécurité et conservation des données RH

Si l’employeur n’avait à respecter que des règles relatives à la récolte des données, la tâche serait relativement aisée. Mais, en réalité, le RGPD va bien plus loin concernant les données RH.

RGPD et sécurité des données RH, un sujet central

En effet, quel est l’intérêt de traiter des données de façon drastique si ces dernières sont facilement accessibles à tous, falsifiables ou endommageables ? Il est alors logique que l’entreprise prenne toutes les mesures de sécurité indispensables au regard des risques présentés au moment de la collecte, la transmission et la conservation des données.

Le référentiel de la CNIL évoque plusieurs catégories de protection : sensibilisation et authentification des utilisateurs, gestion des habilitations, traçabilité des accès et gestion des incidents, sécurisation des postes de travail, protection du réseau informatique et de l’informatique mobile. 

RGPD et conservation des données RH, des durées plus ou au moins longues

L’employeur ne peut garder indéfiniment les données à caractère personnel de ses salariés. 

La conservation n’est possible que le temps strictement nécessaire à la réalisation des finalités poursuivies. Cette durée doit même être définie en amont pour en informer l’intéressé.

Néanmoins, il est souvent indispensable de créer des archives intermédiaires distinctes de la base active pour obéir à des contraintes législatives ou réglementaires spécifiques.

Exemples :

Bulletin de salaire 

• Base active = 1 mois 
• Archivage intermédiaire = 5 ans ou 50 ans en version dématérialisée

Registre unique du personnel ‍

• Base active =  durée pendant laquelle le salarié fait partie des effectifs
• Archivage intermédiaire = 5 ans à compter du départ du salarié 

RGPD RH : comment se mettre en conformité

Les ressources humaines ont tout intérêt à définir un système efficace pour traiter les données car tous les documents provenant ou à destination des salariés sont concernés : les notes de frais, les arrêts de travail, les justificatifs d’absence, etc.

Voici selon Leto les 5 briques à poser : 

1. Recenser toutes les données collectées, vérifier les buts poursuivis, rechercher les bases légales pour justifier la récolte et le traitement des données (à intégrer dans la tenue des registres) ;
2. Mettre en place une méthodologie sur ces questions de traitement des données et veiller à la sécurité de ces dernières avec le DSI ;
3. Rédiger des documents pour informer les salariés sur le devenir de leurs données et les droits dont ils disposent ;
4. Former les équipes RH sur les questions de sécurité et les aider à lister tous les sous-traitants à qui sont transférées les données ; 
5. Se munir d’un logiciel RGPD qui pourra retrouver n’importe quelle donnée, la supprimer ou l’archiver selon les règles en vigueur.

‍