Ce n’est plus un secret pour personne, le RGPD (Règlement général pour la protection des données) entrera en vigueur le 25 mai 2018. A cette occasion, le droit français est modifié par le Parlement ce qui affecte particulièrement les entreprises qui traitent des données de santé. Mais pas seulement ! Tous les traitements de données personnelles sont concernés par ce Règlement européen et doivent se préparer en amont. En effet, toute violation du droit pourra entrainer la condamnation à payer une amende importante variable selon les faits reconnus.
Les services de ressources humaines (RH) d’entreprises sont directement concernés car ils sont amenés à collecter et traiter de nombreuses données à caractère personnel. Voici un premier tour d’horizon des principales dispositions que devront prendre les services RH.
Les principales mesures à prévoir dans les services RH
Les services RH des entreprises collectent des données personnelles depuis la phase de recrutement d’un salarié, jusqu’à son départ. Plusieurs étapes sont à identifier par les entreprises afin de préparer au mieux leur adaptation au RGPD.
Première étape : préparation
Etablir la liste les données personnelles récoltées. Il s’agit de dresser la chronologie de la récolte des données et la nature de ces dernières. La candidature d’une personne donne ainsi lieu à la récolte de son CV, de sa lettre de motivation, de son email, de ses éventuels retours et comptes-rendus. Son embauche puis sa présence dans l’entreprise génèrent de nombreuses données personnelles : ses coordonnées (logement, banque, sécurité sociale, situation de famille…), ses données de paie (notamment présentes dans la déclaration de données sociales), son dossier de suivi dans l’entreprise (formations, évaluations…), et les documents existant lors de son éventuel départ (attestation pôle emploi, attestation de travail, courriers éventuels). Toutes ces données, si elles sont numérisées, entrent dans le cadre du RGPD et doivent être identifiées pour faire l’objet d’une protection particulière.
L’entreprise doit impérativement tenir un registre à jour de tous les traitements à mettre en oeuvre.
Deuxième étape : planification
Assurer l’information de toutes les personnes auprès desquelles sont récoltées les données (candidats et salariés). L’entreprise doit informer l’individu de l’identité et des coordonnées du responsable du traitement (et si besoin de son représentant), des coordonnées du délégué à la protection des données (s’il existe dans l’entreprise), des finalités de traitement et de leur base juridique, de l’identité des destinataires ou catégories de destinataires des données à caractère personnel et, le cas échéant, l’intention de transférer les données vers un pays tiers.
Ce n’est pas tout, car le Règlement est très clair, une fois les données obtenues, des informations supplémentaires doivent être délivrées telles que : la durée de conservation des données ou les critères utilisés pour déterminer cette durée, le droit d’accès aux données, de rectification et d’effacement, le droit de déposer une réclamation auprès d’une autorité de contrôle.
Troisième étape (cruciale) : application
Réviser toutes les clauses relatives à la collecte des données personnelles, qu’elles soient présentes dans le règlement intérieur, le contrat de travail, ou dans un autre document spécifique. Il pourrait être judicieux de rédiger un document unique détaillant l’ensemble des dispositions relatives aux données personnelles dans l’entreprises à faire signer par chaque salarié. Le règlement intérieur paraît, à ce titre, adéquat.
Quatrième étape : sécurisation
Les traitements de données personnelles mis en oeuvre par les services RH restent soumis aux mêmes dispositions que tout autre traitement. Des mesures de sécurité doivent donc être prévues pour assurer la protection des données stockées. Des politiques de gestion d’habilitations, de conservation des données, de formations du personnel, doivent être mises en oeuvre en ce sens.
RH et données personnelles : vers un renforcement spécifique en droit français ?
Le RGPD édicte toutes les dispositions à respecter dès lors qu’un traitement automatisé de données à caractère personnel est mis en oeuvre. Toutes les entreprises doivent donc se conformer au Règlement, quel que soit le service, les ressources humaines sont directement concernées par cela car elles traitent nécessairement des données personnelles diverses, liées à chacun des salariés dans l’entreprise.
L’article 88 du RGPD précise que les autorités nationales peuvent proposer des mesures spécifiques dans le cadre des traitements de données dans le cadre des relations de travail. Plus précisément, il est question de tout “traitement des données à caractère personnel des employés dans le cadre des relations de travail, aux fins, notamment, du recrutement, de l’exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l’employeur ou au client, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l’emploi, individuellement ou collectivement, ainsi qu’aux fins de la résiliation de la relation de travail“.
D’après la lecture du projet de loi relatif à la protection des données personnelles, les seules dispositions spécifiques prévues en droit français concernent les traitements de données biométriques qui contrôlent “l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés ou aux agents“. Pour réaliser un tel traitement, l’entreprise devra nécessairement être conforme aux règlements types proposés par la CNIL.
On le comprend, les services RH ont un travail conséquent à mener pour se conformer au RGPD d’ici le 25 mai 2018. Les compétences impliquées sont aussi bien juridique que techniques, notamment lorsqu’il s’agit de la sécurisation des données. Même si un seuil de tolérance sera probablement accepté les premiers mois d’application du nouveau Règlement, tous les services RH devraient s’atteler rapidement à leur mise en conformité.
