Comment le RGPD (ou GDPR) impacte la gestion de vos ressources humaines (RH) ?
Le règlement général sur la protection des données (RPGD) s’applique aux données à caractère personnel des citoyens de l’Union européenne, ce qui signifie que votre service RH sera très impacté en raison de la quantité et de la sensibilité des données traitées.
Dans presque toutes les organisations, l’employeur est le « responsable du traitement » des données relatives aux travailleurs. Nous décrivons les différentes étapes clés que l’équipe RH doit prendre en compte lors de l’examen du traitement des données HR (en fonction du RGPD).
Où sont les données ?
Réaliser un audit complet des données pour identifier les emplacements où sont conservées les données RH est l’une des premières étapes. Cet exercice peut révéler des doublons, etc. Il vous faudra sélectionner l’emplacement le plus approprié pour conserver les données. Disposer d’un système informatique dédié, si possible, et accessible uniquement aux personnes concernées (Par exemple, les responsables RH, la Direction, etc) peut être un moyen efficace de gérer ces données.
La documentation de vos activités de traitement de ces données est essentielle pour démontrer la conformité aux organismes de réglementation, tels que la CNIL Ou l’APD Chaque activité devrait avoir une personne clairement identifiée qui est responsable de la protection des données.
Ai-je besoin des données ?
Il est vivement recommandé de ne collecter que les données indispensables au bon fonctionnement de la fonction RH, qui constitue bien entendu un principe fondamental du RGPD. L’organisation doit examiner les données relatives aux employés qu’elle collecte et, si possible, réduire la quantité de données détenues. Les données devraient être évaluées en fonction de la nécessité de les traiter pour pouvoir exercer efficacement la fonction RH.
Une autre considération clé lors du stockage et du traitement des données des employés est la durée pendant laquelle les données doivent être stockées. L’article 5 e) du RGPD dispose que les données à caractère personnel ne doivent pas être conservées plus longtemps que nécessaire aux fins pour lesquelles elles sont traitées. Par conséquent, après avoir examiné les exigences GDPR, il peut être nécessaire de mettre à jour votre stratégie de conservation des données. Lorsque vous envisagez des périodes de conservation, vous devrez également inclure les exigences légales appropriées.
Pourquoi est-ce que je traite ces données ?
Une fois que vous avez identifié les données dont vous avez besoin, déterminer la base légale pour le traitement des données. Les six bases légales couvertes par le GDPR sont :
- Consentement
- Contrat
- Obligation légale
- Intérêts vitaux
- Tâche publique
- Intérêts légitimes
En vertu de la loi actuelle sur la protection des données, le consentement est utilisé comme base légale commune pour le traitement des données des employés. Cependant, le RGPD précise que le consentement doit être donné librement. Étant donné que le travailleur conclut un contrat de travail, il est peu probable qu’il refuse de fournir des informations personnelles…
Le RGPD indique également que le consentement doit « être séparé des autres termes et conditions», ce qui signifie que le recours à une clause dans un contrat de travail n’est également pas une option.
Considérez aussi vos obligations légales et vos intérêts légitimes. Les intérêts légitimes de l’entreprise constituent l’un des fondements possibles. Cela est subordonné à la condition que le traitement soit « nécessaire aux fins des intérêts légitimes… sauf lorsque ces intérêts sont lésés par les intérêts ou les libertés et droits fondamentaux de la personne concernée ». (Exemple : le numéro de compte en banque, est légitime pour procéder à la rémunération. Le certificat de bonne vie et mœurs ne sera légitime que dans un nombre restreint de secteurs)
Une autre base est l’obligation légale – par exemple, pour exécuter un contrat.
Qu’est-ce que les ressources humaines devraient prendre en compte dans le RGPD ?
Cet article a fourni des indications sur trois domaines qui devraient être intégrés à votre examen des activités de traitement des données relatives aux ressources humaines. Les principaux points à retenir pour les responsables des RH sont les suivants :
- Quelles données sont traitées (inventaire des données et des traitements) ?
- Où les données sont-elles stockées et pour combien de temps (archivage, durée de rétention) ?
- Pourquoi les données sont-elles collectées et sur quelle base légale (licéité, finalité) ?
Avec des amendes pouvant être importantes, il est essentiel que toutes les organisations se conforment au RGPD le plus rapidement possible.
Chaque organisation est différente, et a besoin d’un accompagnement adapté au contexte. Pour ce faire, nous vous proposons une approche multidisciplinaire, intégrant des compétences RH, IT et juridique.