L’opportunité du RGPD pour les fonctions RH

Vous le savez, la nouvelle réglementation européenne sur la protection des données entrera en vigueur le 25 mai prochain avec l’ambition de renforcer la protection des données personnelles des individus.

Licéité, loyauté et transparence

A partir du mois de mai, les responsables de traitements devront obtenir le consentement des individus concernés préalablement au recueil de leurs données et les informer sur les traitements effectués et leurs finalités. Ces traitements doivent respecter les droits et libertés des individus. Et ce n’est pas tout ! Les responsables de traitement devront aussi donner la possibilité aux individus concernés de demander l’accès, la modification ou la suppression de leurs données (sauf exceptions). 

Limitation des finalités et minimisation des données recueillies

Les données devront être collectées pour une finalité déterminée et connue de la personne concernée. Et seules les données nécessaires à cette finalité devront être recueillies. Ce principe limitera donc aussi la réutilisation des données personnelles collectées.

Exactitude, confidentialité et intégrité des données

Les entreprises devront mettre en place des moyens organisationnels et matériels garantissant que les données traitées sont justes et que seules les personnes autorisées peuvent y accéder.

Limitation de la conservation

Les données personnelles seront conservées le temps nécessaire au traitement. Ce traitement pouvant inclure une période d’archivage intermédiaire qui devra cependant être conforme à la législation en vigueur. Dans le cas contraire, les données qui ne présenteront plus d’intérêt devront être supprimées sans délai.

L’archivage étant un traitement en soi, les personnes concernées par les données personnelles archivées devront être informées de la durée et de la finalité de l’archivage dès la collecte.

Responsabilité dans le traitement

Les responsables des traitements se devront d’être proactifs vis à vis de ce règlement (principe d’accountability). Ils s’assureront que les outils utilisés prennent en compte la protection des données dès leur conception ( principe de privacy by design) et que les traitements effectués sont conformes au RGPD (principe de privacy by default). Pour aller plus loin n’hésitez pas à vous rendre sur le site de la CNIL qui propose notamment des outils d’aide à la mise en oeuvre de ce règlement: https://www.cnil.fr/fr/comprendre-le-reglement-europeen

Le RGPD s’appliquera à toutes les entreprises établies dans l’UE ou pour toutes entreprises établies hors de l’UE traitant des données de personnes physiques se trouvant dans l’UE. Et le montant des sanctions en cas de non conformité constatée par l’autorité de contrôle (CNIL pour la France) sera volontairement dissuasif : jusqu’à 20 millions d’euros ou 4% du CA ! Doit-on pour autant avoir peur du RGPD ? Non ! Ces nouvelles dispositions représentent une véritable opportunité pour les organisations d’optimiser leurs processus et gagner en efficacité. Et les fonctions RH qui, de par la quantité de données personnelles qu’elles traitent, se doivent de saisir cette opportunité

Le RGPD est-il une mission pour le département RH ?

Non, le RGPD est une missions pour TOUS les départements ! L’entreprise aura beau désigner un DPO (Data Protection Officer), ce dernier ne portera pas la responsabilité de l’ensemble des traitements opérés sur les données personnelles.

Le responsable du traitement est celui qui détermine les finalités et les moyens du traitement. Dans le cadre de nos missions RH, nous serons donc responsables des traitements que nous opérons sur les données personnelles des salariés et/ou des candidats. Alors comment se conformer ? Suivons le guide de la CNIL et intégrons la démarche de protection des données personnelles sur le long terme. Adoptons des réflexes et posons nous les bonnes questions dès que nous sommes amenés à traiter des données personnelles (est-ce que j’en ai vraiment besoin, pourquoi, quel sera le cycle de vie de cette donnée, comment ai-je obtenu le consentement, combien de temps je vais la conserver….).

Comment transformer la contrainte en opportunités ?

Minimiser les données collectées et les finalités ⇒ On rationalise !

Qui n’a jamais espérer avoir le temps de passer en revue ses process afin de les mettre à jour et les simplifier ? Réjouissez-vous, c’est LE moment: et surtout on supprime les doubles saisies, les impressions inutiles, les copies en 6 exemplaires, et on limite l’archivage papier quand la législation nous le permet. Le RGPD nous donnerait-il une chance d’alléger (un peu) nos tâches administratives ?

Limiter la conservation des données ⇒ On supprime !

Mais on ne supprime pas n’importe comment. On met en place des règles d’archivage en se référant aux textes ou recommandations en vigueur (CNIl: limiter la conservation des données). Et on détruit ensuite tout ce qui n’a plus lieu d’être conservé. Certes, cela peut prendre un peu de temps, mais le retour sur investissement se verra sur la prochaine facture de notre tiers archiveur et sur la place libérée dans notre espace de stockage électronique.

Sécuriser les traitements des données personnelles ⇒ On digitalise !

Les risques à éviter en matière de traitement des données personnelles sont l’accès, la modification et la suppression non désiré. Vous le savez, lorsqu’un processus est géré sur un fichier excel ou en format “papier”,  on se retrouve systématiquement avec X versions, adressés à X personnes et donc stocker à X endroits (électronique ou non) Il devient alors impossible de fiabiliser ce processus et d’éviter l’accès, la modification ou la suppression des données. La mise en place de solutions digitales semblent être une bonne réponse aux obligations de sécurités imposées par le RGPD : gestion centralisée, fiabilité, accès limité. Alors pour exemple, on arrête d’imprimer les CV des candidats pour les déposer sur le bureau du manager et on met en place une solution web de gestion des candidatures avec un workflow de validation par mail : le rêve !

Informer les personnes concernées ⇒ On communique !

Notamment avec les candidats. Lorsqu’ une personne nous adresse son CV pour un poste, elle a, de fait, autorisé l’exploitation de ses données personnelles dans le cadre du recrutement pour ce poste et uniquement pour ce poste. Si nous souhaitons conserver sa candidature dans un vivier, il va falloir lui demander son consentement et ce pour une durée déterminée. D’après la recommandation du 21 mars 2002 une candidature peut être conservée 2 ans après le dernier contact avec la personne concernée. Son consentement sera donc valable 2 ans, au delà, soit on supprime, soit on la recontacte pour obtenir à nouveau son accord. N’est-ce pas là une belle occasion de qualifier son vivier, valoriser la relation avec les candidats, développer sa marque employeur ?

Depuis quelques années, plusieurs lois sont venues favoriser la digitalisation de nos fonctions : dématérialisation des documents et notamment des bulletins de paie, signature électronique, création du compte personnel d’activité. Or, selon une étude récente de Sopra HR et l’usine digitale, seuls 15 % des personnes interrogées déclarent que le niveau de maturité digitale de leur service RH est bon. “Les directions des ressources humaines …tardent encore à se transformer en profondeur. … Le manque de moyens humains et financiers restent un frein majeur. “ (L’usine Digitale – 23/11/17)

Alors saisissons-nous de cette réglementation, pour ne plus être les parents pauvres de la digitalisation et transformons chacune des obligations imposées par la RGPD en opportunités de moderniser nos fonctions et dépoussiérer nos processus.

L’auteure : Nathalie Saubiette – AfterWork RH Lyon

« Touche-à-tout » des Ressources Humaines : Support juridique, conseil en management, IRP, formation, recrutements, process… Mais aussi pour la dimension humaine, la proximité avec les Dirigeants et les salariés, et pour les constantes mutations qui apportent régulièrement de nouveaux projets passionnants.