RGPD RH : impact pour vos processus

RGPD services RH

Le RGPD dans les services RH. Quel est son impact ?

Le RGPD a un impact important sur vos activités liées aux ressources humaines et vient s’ajouter aux autres obligations du Code du Travail, notamment.

En effet, le RGPD concerne les services RH dans la gestion du recrutement, de la paie, des carrières, du contrôles d’activité et plus généralement de tout ce qui concerne les salariés des organisations.
Il ne fait aucun doute que toutes ces activités requièrent la collecte et l’utilisation de données personnelles concernant vos collaborateurs.

Responsables RH, cabinets de recrutement, êtes-vous conforme au RGPD ?

La conformité RGPD n'est pas seulement une obligation légale, mais aussi un moyen essentiel de gagner la confiance de vos candidats et collaborateurs. Agissez dès maintenant pour sécuriser vos processus RH et préserver votre réputation !

RGPD RH - Rappel des principes clés pour une conformité de vos traitements

RGPD principes et confiance

#01 Finalité

Les traitements RH mis en œuvre doivent répondre à un objectif précis pour respecter l’article 5 du RGPD. Les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes.

#02 Licéité

Pour être licite, un traitement doit reposer une des 6 bases légales (Art. 6 du RGPD). Ce choix n’est pas un acte anodin et doit être appropriée au traitement mis en œuvre. Cette base légale ne doit pas être choisie parce que « ça arrange ». A noter que la base légale aura un impact sur l’existence de droits de la personne concernée (le collaborateur, le candidat, …)

#03 Minimisation

Il est nécessaire de ne récolter que les données nécessaires au traitement. Les données « au cas où » ou « pour plus tard » sont à proscrire. A noter que ce principe participe à la minimisation de l’empreinte écologique du numérique. Le Cloud a tendance à nous laisser penser que le stockage numérique est à capacité infinie. Mais je m’égare 😊

#04 Exactitude

Toutes les mesures doivent être prises pour mettre à jour les données à caractère personnel : rectification ou effacement au plus tôt.

#05 Durée de conservation

Un point délicat, voir difficile, à traiter. En effet, une durée de conservation doit être déterminée. Pour cela, il faudra tenir compte d’éventuelles obligations de conservation, des recommandations sectorielles ou de la CNIL. Parfois, il faudra déterminer cette durée en fonction des besoins de l’entreprise. Mais une chose est sûre : il y a toujours un clap de fin (sauf cas particulier des archives publiques) et par conséquent pas de durée illimitée.

#06 Intégrité et confidentialité

Le RGPD n’y consacre que peu d’articles, mais la sécurité est un pilier fondamental de la conformité. Certaines données personnelles RH peuvent nécessiter une sécurité renforcée. Mais, à bien y penser, la sécurité s’applique bien au-delà des données à caractère personnel. N’avez-vous pas quelques informations à protéger ? Bien souvent, la conformité au RGPD sera l’occasion de monter en maturité sur ces questions.

#07 Droits de personnes

Le respect de la vie privée implique l’existence de plusieurs droits pour la personne concernée que nous nous limiterons à évoquer :

  • Transparence
  • Accès
  • Rectification
  • Opposition
  • Effacement
  • Limitation
  • Portabilité des données
  • Décision individuelle automatisée

Il faut donc s’assurer de pouvoir répondre à tous ces droits. Et le 1er de ces droits concerne la transparence. Un droit à être informé et qui participe à la loyauté de la collecte des données. Les informations à fournir sont précisées dans les art. 13 et 14 du RGPD.

Et une information claire, hein ? Compréhensible et sans jargon. Oups, encore un peu de boulot quand on voit certaines choses (la visite des sites Web est souvent révélatrice, à ce sujet).

RGPD RH – Focus sur quelques activités de traitement clés

RGPD RH

# Le recrutement

Le processus de recrutement nécessite la collecte et le traitement de données personnelles relatives aux candidats. Ces informations ont pour objectif de pouvoir évaluer l’aptitude du candidat pour un poste donné mais aussi de mesurer ses aptitudes professionnelles (expériences, diplômes, qualifications, …). Intuitivement, nous percevons le côté intrusif de certains traitements. Outre le respect du code du travail, le recruteur devra s’assurer du respect de la vie privée des candidats et ainsi donc respecter les principes évoqués précédemment.

La CNIL a publié en début d’année 2023, un guide du recrutement.

Ce guide contient 19 fiches qui abordent certains points qui peuvent poser question dans le processus de conformité RGPD RH des services et différents acteurs du domaine des ressources humaines . Nous pouvons évoquer :

  • La qualification des acteurs (responsable de traitement, responsable conjoint, sous-traitant) qui peut s’avérer complexe car de nombreux acteurs peuvent participer au processus de recrutement
  • Le recours à des outils d’évaluation
  • L’utilisation de la vidéo dans le processus de recrutement
  • Le recours aux données publiques
  • L’accès au casier judiciaire

Il se compose de deux parties :

  • un rappel des fondamentaux en matière de réglementation sur la protection des données personnelles dans le domaine du recrutement (fiches n° 1 à 10);
  • des questions-réponses sur l’utilisation des nouvelles technologies par les recruteurs et à des questions spécifiques telles que celles relatives à la discrimination (fiche n° 11 à 19).

Autant d’informations précieuses sur les bonnes pratiques à mettre en œuvre et à maintenir pour s’assurer une conformité RGPD.

Pour rappel, les fondamentaux s’appliquent à toute activité de traitement mettant en jeu des données personnelles.

A noter, que pour les plus petites structures (TPE, PME, Profession Libérale) la CNIL propose 5 questions incontournables à se poser.

# La gestion du personnel

Là encore, la CNIL nous fournit une précieuse aide dans la conformité RGPD des services RH via son référentiel relatif aux traitements de données à caractère personnel mise en œuvre aux fins de gestion du personnel.

Les éléments essentiels concernant les traitements RH les plus couramment mis en place dans les organisations sont abordés :

  • Finalités des traitement
  • Bases légales
  • Catégories de données
  • Destinataires
  • Durées de conservation
  • Information des personnes
  • Droits de personnes
  • Sécurité

Bref, une bonne base pour constituer votre registre RGPD et piloter votre conformité RGPD.

# Le contrôle d’activité et l’accès aux locaux

Les locaux professionnels ne sont pas ouverts à tous. Les employeurs comme les employés ont besoin de connaître les horaires effectués. Par conséquent, les contrôles d’accès et du temps de travail ne datent pas d’hier. Toutefois, les technologies évoluent et facilitent ces contrôles mais permettent aussi de collecter beaucoup d’informations sur les personnes concernées.

Il est donc indispensable de limiter leur utilisation pour préserver les droits et libertés de chacun.

# La vidéosurveillance/vidéoprotection

Les caméras de surveillance sont de plus en plus utilisées sur les lieux de travail. Il est légitime de vouloir assurer la sécurité des biens et des personnes. Toutefois, placer les employés sous surveillance constante et permanente est interdit.

Employeurs, quelles sont les règles à respecter ? Quels sont les droits des employés ?

# Le télétravail

La pandémie de COVID-19 a bouleversé les habitudes de travail de beaucoup en imposant de nouveaux modes d’organisation qu’implique la mise en place du télétravail.

Ce dernier impose de nouvelles règles à mettre en œuvre par les organisations mais aussi par le télétravailleur.

RGPD RH – De multiples acteurs concernés : employeurs, cabinets de recrutement, agences d’intérim, …

Pour conclure, la conformité RGPD des activités RH  ne doit pas être vécu comme une contrainte supplémentaire mais comme une véritable opportunité pour vos relations avec vos collaborateurs.

En tant qu’entrepreneur, je comprends que ce sujet ne soit pas perçu comme prioritaire. Nous avons tous le nez dans le guidon et ceci nous amène parfois à laisser certains dossiers au bas de la pile.

Mais je pense que la conformité au RGPD a d’autres vertus :

  • sécuriser vos activités juridiquement mais aussi par une meilleure sécurité numérique via l’acquisition de bons réflexes (hygiène numérique);
  • participer à la réduction de l’empreinte écologique car le stockage de données est bien physique et consommateur même dans le Cloud qui peut nous paraître virtuel et à capacité infinie.

Alors je vous invite à vous engager dans votre conformité RGPD.

Et si vous vous sentez trop seul, je peux vous aider dans cette démarche par un accompagnement adapté à votre contexte.

En attendant, pour assurer votre sécurité sur internet, vous pouvez visiter la boutique de notre partenaire (lien affilié) Eset

Image de Pierre Bouffay
Pierre Bouffay

Besoin de l'appui d'un spécialiste RGPD & cybersécurité ?