Le RGPD (Règlement Général sur la Protection des Données) uniformise le traitement des données personnelles sur papier ou support numérique au niveau européen et touche particulièrement les RH qui disposent de nombreuses données sensibles relatives à leurs salariés et à leurs candidats. Dans l’article suivant, découvrez comment le RGPD impacte les RH.
Non-respect du RGPD : jusqu’à 20 millions d’euros de sanction ou 4% du chiffre d’affaires total annuel de l’entreprise.(Source : CNIL)
1. Le RGPD et les RH, un devoir de mise en conformité inéluctable !
Le CNIL ne fait pas preuve de tolérance dans les délais d’application du RGPD avec plus de 64 sanctions répertoriées depuis 2017 (source : Data Legal Drive)… qu’en est-il aujourd’hui ?
Ebook : Bonnes pratiques pour un recrutement responsable et conforme avec le RGPD
Maîtrisez les contraintes réglementaires liées au recrutement et recrutez en tout sécurité !
Entré en vigueur en 2018, le RGPD a provoqué une révolution organisationnelle auprès de toutes les entreprises et c’est certainement le service RH qui doit s’adapter au plus vite.
30% des entreprises interrogées ont proposé des formations RGPD à leurs collaborateurs pendant le confinement.(Enquête « Covid19 et RGPD », Data Legal Drive, 2020)
LE RGPD a un impact sur tous les services RH !
Le service RH fonctionne exclusivement à partir de données personnelles ! Dès le début du recrutement, il collecte les noms et prénoms des candidats, il prend ensuite contact avec eux, puis une fois intégrés dans l’entreprise, enregistre leur numéro de sécurité sociale. Plus tard, il est informé des demandes de congés, des arrêts de travail, etc.
Tous les services RH sont donc impactés par le RGPD et compte tenu du montant de la sanction en cas de non-respect du règlement, à savoir, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires, il est nécessaire de se mettre en conformité au plus vite !
2. Bien comprendre les enjeux RGPD pour les RH
40% des entreprises interrogées ont profité du confinement pour se mettre en conformité vis-à-vis du RGPD (Enquête « Covid19 et RGPD », Data Legal Drive, 2020
Côté candidats et collaborateurs, des droits à respecter !
Le RGPD garantit à chaque candidat et collaborateur le droit de consulter ses données personnelles, de les rectifier ou de les supprimer. Il garantit également un délai en matière de durée de conservation des données, ainsi à partir du moment où les données ne sont plus utilisées depuis un certain temps ou selon le cadre légal appliqué, elles doivent être automatiquement détruites.
Le service RH doit faire en sorte que « toutes » les données soient facilement accessibles pour répondre rapidement aux demandes de consultation des collaborateurs. Avec l’aide du DPO (délégué à la protection des données) il doit assurer la traçabilité de tous les traitements (quelles données sont détenus, où sont-elles stockées, quelle est la finalité), et mettre en place des processus pour garantir la suppression automatique des données personnelles, mais aussi être en capacité de garantir le respect du droit à l’oubli lorsque celui-ci est exercé. Par ailleurs, le DPO doit également savoir où sont stockées les données et quels membres du personnel y ont accès et rédiger une liste de traitements exacte de ces données.
Côté entreprise, un devoir de protection !
Les données personnelles appartiennent aux candidats et collaborateurs mais elles représentent une valeur marchande pour des personnes malintentionnées (vente de données personnelles non autorisée, piratage informatique, vol d’identité, etc.). Il faut être vigilant à la nature du consentement proposé, si celui-ci ne donne pas l’accord de partage de données, alors la cession ou le partage sont interdits.
Par ailleurs, il est important de faire la distinction entre le respect des limites du consentement et la sécurisation des données (à savoir protection des serveurs, limitation des personnels ayant accès aux données, restrictions des API, etc.).
L’entreprise a donc un devoir de sécurisation des données. Les données personnelles doivent être stockées dans des endroits sécurisés. Il est également préférable de les centraliser pour en simplifier l’accès. Enfin, l’accès aux données doit être limité à quelques personnes. C’est donc toute une organisation à mettre en place au sein des différents services RH.
L’entreprise n’est pas la seule à devoir être en conformité
Toutes les entreprises sont concernées par le RGPD. Ainsi, les sociétés qui traitent la donnée de citoyens de l’Union Européenne y sont soumises en tant que « Data Processors ». À ce titre, chaque société doit veiller à ce que tous les services, logiciels ou solutions SaaS qui ont accès aux données personnelles des salariés ou candidats, respectent le cadre du RGPD. Par conséquent, quand une entreprise sous-traite une partie de ses fonctions supports avec par exemple un Centre de Services Partagés ou quand elle utilise un prestataire de logiciels en mode SaaS, elle doit s’assurer que ces entreprises soient également conformes au RGPD comme c’est le cas avec Cegid Digitalrecruiters.
3. Quelles sont les données auxquelles ont accès les services RH ?
Un site web sur trois serait conforme à 100% avec le RGPD (Enquête « Covid19 et RGPD », Data Legal Drive, 2020)
Bien comprendre ce qu’est une « donnée personnelle et/ou sensible » d’après le RGPD
La plus grande difficulté pour le service RH consiste à bien comprendre ce qu’est une donnée personnelle. Il ne s’agit pas simplement des noms et prénoms de ses collaborateurs. Dès qu’un renseignement sur un collaborateur est répertorié et exploitable, il devient une donnée personnelle. Le RGPD impose par conséquent une approche systémique de la donnée d’où la complexité à en organiser le stockage, le traitement et la suppression en entreprise.
Selon la définition officielle publiée sur le site de la CNIL, une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.
Une personne physique peut être identifiée directement (exemple : nom et prénom) ou indirectement. Exemple :
- par un numéro de téléphone ou de plaque d’immatriculation,
- un identifiant tel que le numéro de sécurité sociale,
- une adresse postale, un courriel ou une adresse IP,
- mais aussi la voix ou l’image.
Les fiches de paie, les notes de frais, les justificatifs d’absence, les informations médicales, les demandes d’entretien… Tous ces éléments constituent des données à protéger qui sont sous la responsabilité de l’entreprise.
Les données sensibles forment une catégorie particulière de données personnelles
Toujours selon le site officiel de la cnil, les données sensibles sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Le règlement européen interdit de recueillir ou d’utiliser ces données, sauf, notamment, dans les cas suivants (source : cnil.fr) :
- si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée) ;
- si les informations sont manifestement rendues publiques par la personne concernée ;
- si elles sont nécessaires à la sauvegarde de la vie humaine ;
- si leur utilisation est justifiée par l’intérêt public et autorisé par la CNIL ;
- si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.
Toutes les données personnelles n’ont pas la même durée de stockage
Toutes les données ne sont pas sur le même pied d’égalité concernant la durée de conservation légale prévue. D’après le site officiel de la CNIL (cnil.fr) , il est possible de conserver les images d’un dispositif de vidéosurveillance pendant un mois.
Une fiche de paie ou une fiche de contrôle des horaires peut être conservée pendant 5 ans. Un dossier médical est conservé pendant 10 ans à compter de la consolidation du dommage. Un CV est conservé 2 ans après le dernier contact avec le candidat. Il est donc nécessaire de structurer l’ordre de conservation des différentes données, et notamment dans la constitution de viviers de CVs : l’entreprise doit demander le renouvellement du consentement des candidats pour avoir l’autorisation de conserver ces données.
Cegid Digitalrecruiters permet d’automatiser le renouvellement du consentement des candidats : à l’échéance du consentement, une séquence d’e-mails est envoyée automatiquement aux candidats concernés dans le respect de la législation RGPD.
Vis-à-vis du RGPD, il faut savoir se justifier
Avant d’enregistrer une donnée personnelle, l’entreprise doit se poser des questions concernant la pertinence des données qu’elle souhaite conserver. Elle ne peut pas enregistrer tout ce qu’elle souhaite sur ses collaborateurs ou ses candidats. En cas de contrôle RGPD, elle doit justifier quel est l’objectif derrière chaque donnée conservée et en quoi il est nécessaire pour le fonctionnement des différents services RH de la conserver. Chaque objectif doit bien évidemment remplir un but légal.
4. RGPD et RH, comment se simplifier la vie ?
33% des entreprises interrogées ont digitalisé leur registre des traitements avec un logiciel en 2020 (Enquête « Covid19 et RGPD », Data Legal Drive, 2020)
Le CRM Cegid Digitalrecruiters, l’outil déjà conforme au RGPD
En utilisant des outils qui intègrent complètement les enjeux RGPD dans leur mode d’utilisation, vous vous simplifiez la vie. Le CRM Cegid Digitalrecruiters, par exemple, répond aux enjeux RGPD dans le traitement des candidatures parce qu’il sécurise les données candidat générées tout au long du parcours candidat. Ainsi, le logiciel de recrutement Cegid Digitalrecruiters vous accompagne dans la sécurisation et la sauvegarde des données candidats à chaque étape du processus de recrutement. Par ailleurs, les serveurs Cegid Digitalrecruiters sont basés en France, chez OVH, et disposent d’un système sécurisé de cryptage de données.
Votre site carrières est-il en conformité avec le RGPD ?
Découvrez le JobSite Grader et faites analyser le niveau de conformité de votre site carrières avec le RGPD en 2 clics.
Crédit photo : Pexels