Les RH à l’heure du RGPD : 4 points clés à retenir

Le 25 mai 2018 est la date de la mise en place officielle du RGPD – le Règlement Européen sur la Protection des Données Personnelles.

Annoncé depuis longtemps déjà, ce nouveau règlement n’en reste pas moins un changement à grande échelle dans les entreprises et organisations européennes. Son objectif : plus de transparence sur les processus de collecte et de stockage, plus de protection et plus de sécurité des données personnelles à l’échelle européenne.

En plus d’être le sujet sur toutes les lèvres – le RGPD annonce de profonds changements en interne pour tous les services, mais spécialement pour les Ressources Humaines. C’est en effet un département qui traite des données particulièrement personnelles et sensibles.

            Comment donc se mettre en conformité avec le RGDP ? Quelles sont les actions à prendre au sein des Ressources Humaines ?  

1.      Faire un audit des données collectées

La première étape consiste à répertorier les données qui sont collectées par votre département. Du recrutement à la paie, de la formation à la gestion des accès en passant par l’appartenance à un syndicat, toutes les données des collaborateurs que vous avez doivent être cartographiées.

Plus qu’un simple recensement de ces données, il s’agit par ailleurs de notifier pour chacune :

  • Leur finalité
  • La personne responsable de leur traitement
  • Les intervenants potentiels dans le traitement, tels que des prestataires externes (SIRH, CRM ou cabinet de recrutement par exemple)

En somme, vous devez vous assurer de respecter le RGPD, mais également que vos prestataires soient en conformité avec le règlement. Votre contrat commercial avec eux est un transfert de responsabilité, qui est légalement décidé entre la tierce partie et vous et officialisé par un contrat auquel se reporter en cas de contrôle.

Les données que vous collectez ainsi que les informations attachées, pour les entreprises de plus de 250 salariés, doivent être consignées dans un registre de traitement qui est mis à disposition de la CNIL, en charge de l’application du RGPD en France.

2.      Informer et obtenir l’autorisation des collaborateurs

Une fois les données et leur utilisation clarifiées, vous devez obtenir l’accord de vos collaborateurs sur celles-ci. Vous devrez notamment leur communiquer :

  • La finalité du traitement des données,
  • Leur droit de faire une réclamation et de limiter l’usage de leurs données,
  • Si les données sont transférées en dehors de l’Union Européenne, l’endroit où elles sont stockées ainsi que leurs garanties.

Ces points doivent être communiqués de manière explicite sur vos différents supports, depuis la candidature d’un candidat et durant toute la vie du collaborateur dans l’entreprise. Ils doivent être mentionnés sur les contrats de travail mais aussi sur votre site de recrutement.

Vous êtes ainsi dans l’obligation de leur communiquer la finalité des données récoltées, leur utilisation, mais également leur durée de conservation. Cela est valable pour tous les employés, du CDI au contrat temporaire, mais aussi pour les candidats non retenus pour un poste.

Dans tous les cas de figure, un consentement doit être donné individuellement par tous les collaborateurs. Il peut s’avérer utile de reformuler les contrats actuels afin d’y introduire ces éléments et s’assurer que le consentement est « spécifique, éclairé et univoque » tel que le prescrit le RGPD.

3.      S’assurer de la confidentialité et de la sécurité des données

Plus que jamais, l’entreprise est responsable des données qui lui sont confiées. Pendant le temps où elle stocke des données personnelles, elle doit donc garantir la confidentialité mais aussi la protection de celles-ci.

Les outils, logiciels ou applications utilisées pour recueillir et traiter les données doivent ainsi permettre un traitement efficace et sécurisé de celles-ci. Elles doivent par exemple pouvoir permettre leur modification et suppression une fois que celles-ci auront rempli leur objectif.

Par ailleurs, les accès aux données doivent être restreints aux personnes habilitées à les manipuler, et chaque intervenant interne ou externe doit être indiqué dans le registre tenu pour la CNIL, garantissant ainsi la confidentialité des données sensibles.

Enfin, vous devez vous assurer que les données soient hébergées sur des serveurs sécurisés qui respectent des standards de sécurité. En cas de piratage et ou de fuite/perte de données, la CNIL  doit être informée dans les 72H suivant sa découverte sous peine d’une sanction financière imposée par le règlement.

4.      Nommer un DPO

Le DPO ou « Data Protection Officer » est la personne qui, dans votre entreprise, est en charge de votre conformité avec le RGPD. Véritable chef d’orchestre, il est un nouvel acteur introduit par ce règlement.

Le DPO est un poste qui peut être pourvu en interne, mais une organisation externe tel qu’un cabinet d’audit ou d’avocats peut également remplir ses fonctions.

Pilote et garant du respect du règlement, il doit en effet pouvoir être indépendant de toute hiérarchie pour pouvoir conseiller les responsables de traitement des données, les sous-responsables ainsi que les employés. Ses connaissances légales font de lui la personne de référence et le lien officiel de votre entreprise avec la CNIL.

Quelles sont les sanctions prévues ?

Contrairement au règlement sur la protection des données actuellement en place, il est important de préciser que le RGDP qui prendra effet en mai prévoit des sanctions très lourdes en cas de non-conformité. Un manquement aux nouvelles règles imposées peut vous couter très cher : les sanctions peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire selon la catégorie d’infraction.

source : http://www.marceau-avocats.com/images/actualites/2017/20171206_RGPD_Sanctions.pdf

Le RGPD annonce clairement beaucoup de changements dans la façon de travailler au sein des Ressources Humaines. Cependant, vous pouvez décider de voir le verre à moitié plein : c’est aussi l’opportunité d’auditer et de réorganiser beaucoup de vos processus internes afin de les fluidifier. Le RGPD vous permet ainsi d’aller plus loin dans votre transformation digitale tout en choisissant des prestataires de confiance.

Speexx est déjà en conformité avec le RGPD

Nous sommes conscients que nos clients courent un grand risque s’ils travaillent avec des fournisseurs qui ne sont pas en conformité avec le nouveau règlement. En tant qu’entreprise européenne, Speexx est bien sûr tenue de respecter cette nouvelle réglementation. Depuis nos débuts, protéger et respecter la confidentialité des données de nos clients, nos apprenants, mais aussi de nos collaborateurs fait partie de l’ADN de Speexx. C’est pourquoi nous sommes aujourd’hui fiers d’annoncer que nous sommes d’ores et déjà en conformité avec le RGPD.

Speexx est la formation en langues Blended Learning qui s’adapte aux besoins de vos collaborateurs. Pour découvrir notre solution, demandez dès maintenant votre essai gratuit.

Essayer Speexx Gratuitement

A propos de l'auteur :

Johan Michel est Directeur Général de Speexx France depuis 2014. Docteur en informatique et auteur d'une thèse sur l'enseignement des langues assisté par ordinateur, il a été expert auprès des clients de Speexx pendant 7 ans avant de prendre la tête de notre filiale française.