Conseils Recrutement

RGPD RH : quelles obligations pour l’entreprise ?

Un site web sur trois serait conforme avec le RGPD (Enquête « Covid19 et RGPD », Data Legal Drive, 2020) Le Règlement…

6 min

Un site web sur trois serait conforme avec le RGPD (Enquête « Covid19 et RGPD », Data Legal Drive, 2020)

Le Règlement Général sur la Protection des Données, dit RGPD, est entré en vigueur en 2018. Il vise à respecter les droits des personnes et à responsabiliser les entreprises en encadrant le traitement des données personnelles. Dans l’article suivant, découvrez le RGPD RH et les obligations pour l’entreprise !

1) Sécuriser, documenter, prévenir : 3 étapes du RGPD RH !

« Le registre [des activités de traitement] est un outil de pilotage et de démonstration de votre conformité au RGPD » (Source : CNIL, « Le registre des activités de traitement »)

L’entreprise est responsable de la sécurisation des données !

La première responsabilité de l’entreprise concerne la sécurisation des données et le respect du principe de protection des données personnelles de la vie privée. Elle doit s’assurer que les données sont stockées dans un endroit sûr, que l’accès aux données est limité à certaines personnes autorisées et qu’un référent a été désigné pour répondre aux demandes des collaborateurs.

L’entreprise doit documenter le traitement des données !

À partir du moment où l’entreprise recueille des données confidentielles, elle doit tenir un registre des activités de traitement des données. C’est-à-dire que l’entreprise doit documenter toute une série d’éléments relatifs aux données comme le type de donnée, la durée de conservation, l’utilisation qui en est faite, les personnes qui y ont accès etc. Dans le cadre RH, les données sont hautement confidentielles puisqu’elles concernent par exemple les rémunérations, les informations médicales et les évaluations de salariés. Le registre des activités de traitement des données est donc inévitable. 

 

 

L’entreprise doit également appliquer ce que l’on appelle un principe de minimisation. C’est-à-dire qu’elle doit limiter le nombre de données stockées et justifier pourquoi elle considère avoir besoin de conserver certaines données. Le registre de traitement des données lui permet de déterminer quelles données sont nécessaires dans le but d’appliquer ce principe de minimisation.

L’entreprise doit prévenir les risques avec des études d’impact !

Le traitement des données RH représente un risque élevé pour les droits et les libertés individuelles. Afin de prévenir les risques et d’anticiper sur les mesures à mettre en place en cas de menace, l’entreprise doit réaliser des Analyses d’Impact relatives à la Protection des Données. Les AIPD permettent aux entreprises de démontrer qu’elles ont mis en place des mesures de protection des données. Dans le cadre RH, ces AIPD concernent par exemple les données liées au recrutement, d’autant plus si elles sont récoltées par un tiers comme c’est le cas avec le logiciel DigitalRecruiters qui est conforme au RGPD. 

 

 

RGPD : entre responsabilité, transparence et confiance. - Source : cnil.fr
RGPD : entre responsabilité, transparence et confiance. – Source : cnil.fr

2) Le RGPD RH a quelques subtilités !

« (…) les données des employés traitées par les employeurs, sur la base d’un intérêt légitime ou d’obligations légales, ne sont pas concernées par le droit à la portabilité. » (Source : CNIL, « Le droit à la portabilité en questions »)

Les Ressources Humaines et le droit à l’oubli

Le RGPD garantit aux personnes un droit à l’oubli ou à l’effacement. C’est-à-dire que les personnes peuvent demander l’effacement de leurs données. Dans le cadre RH, ce droit s’exerce sous certaines conditions puisque la loi impose la conservation de certaines données. C’est pourquoi l’entreprise doit se tenir informée des durées légales de conservation des données : 5 ans pour les bulletins de salaire, aucune limite de durée pour les droits à la retraite, 3 ans pour les sanctions disciplinaires, etc. 

Le droit à la portabilité ne s’applique pas toujours aux RH !

Dans un même registre, le droit à la portabilité permet à une personne de récupérer des données la concernant ou de les transférer à un autre organisme. Cependant, dans le cadre de la gestion des ressources humaines, il est possible que ce droit à la portabilité ne s’applique pas si une obligation légale prévaut. L’entreprise doit donc analyser les demandes de portabilité des collaborateurs au cas par cas.

 

 

Les points de vigilance RGPD pour chaque processus RH. - Source : docaposte.com
Les points de vigilance RGPD pour chaque processus RH. – Source : docaposte.com

3) Le RGPD RH repose sur un principe de transparence !

Article 33 du règlement général sur la protection des données : Notification à l’autorité de contrôle d’une violation de données à caractère personnel (Source : CNIL)

Les salariés sont informés sur le traitement de leurs données

La transparence est un élément-clé du RGPD RH et se traduit tout d’abord par un devoir fondamental d’information claire et précise. L’entreprise doit informer les salariés sur le traitement des données personnelles. Plusieurs documents internes de l’entreprise sont susceptibles de servir de support de communication comme le contrat de travail ou le règlement intérieur. À travers ce document, les salariés prennent connaissance de leurs droits, de l’utilisation qui est faite de leurs données personnelles et de la personne qu’ils doivent contacter pour avoir accès à leurs données.

C’est en informant suffisamment les salariés que l’entreprise facilite l’accès aux données personnelles et permet aux salariés d’exercer leurs droits.

Les violations de données sont notifiées aux autorités compétentes

L’entreprise a l’obligation de documenter les violations de données et doit informer les autorités compétentes comme la CNIL dans un délai de 72 heures si la violation de données représente un risque pour la vie privée des personnes. Si le risque sur la vie privée des personnes est élevé, elle doit également informer les personnes directement concernées par la violation de données.

L’entreprise garantit l’accès aux autorités de contrôle

Un employeur est tenu de coopérer avec les autorités compétentes et de faciliter l’accès en cas de contrôle sur les mesures RGPD mises en place. En cas de non-respect du RGPD, c’est l’employeur qui est tenu responsable.

Si cet article vous a plu, je vous invite à télécharger le chapitre de notre livre blanc « le coût d’un recrutement raté » ou à nous contacter directement.

Crédit photo : Pexels

Donner votre avis

En commentant, vous acceptez notre politique de confidentialité

À propos de l'auteur

Dalale Belhout

Directrice au sein de la Fondation FACE (Fondation Agir Contre l'Exclusion), Dalale dirige le Club des entreprises socialement engagées de Seine-Saint-Denis et sensibilise acteurs privés et publics aux enjeux de recrutement inclusif et de diversité en entreprise. Ancienne Head of Content chez DigitalRecruiters, elle est aujourd'hui ambassadrice du Lab'DR, une communauté d'experts qui partage réflexions et bonnes pratiques sur le blog. Dalale est par ailleurs co-auteur de plusieurs ouvrages dédiés au digital appliqué aux RH, à la marque employeur et au recrutement responsable et éthique, sujets sur lesquels elle intervient régulièrement en tant que conférencière.