RGPD et RH : la conformité en 6 étapes

Publié 5 avril, 2018 · 4 min. lecture

Le Règlement Général de Protection des Données (RGPD) entrera en vigueur dès le 25 mai prochain. Son rôle ? Protéger uniformément la vie privée des citoyens européens et notamment la confidentialité de leurs données personnelles ! En quoi cela concerne-t-il votre service RH et ses processus ? Vous pensiez que ce n’était pas pour vous ? Et bien détrompez-vous ! Cette directive concerne toutes les organisations (et leurs fournisseurs) qui opèrent dans l’Espace Economique Européen et collectent, stockent, traitent des données personnelles de citoyens européens… Or, ces citoyens sont bien souvent également des salariés, d’où la nécessité pour les services RH de se mettre en conformité avec ce nouveau règlement !

 

Faites le point : quelles données récoltezvous ?

Nous avons tous tendance à accumuler des informations, par réflexe, habitude ou tout simplement « au cas où ». Cette tendance est tellement présente que nous n’avons souvent même pas conscience de la somme de données accumulées. Avec le RGPD, c’est le grand ménage de printemps !  Noms, coordonnées, tests, fiches de paie, badges, vidéosurveillance, et autres, listez toutes les informations que vous collectez. Pour chacune vous devez être capable d’expliquer qui est en charge de son traitement, dans quel but, comment et combien de temps vous allez la conserver, etc. Vous vous apercevez que certaines ne seront jamais traitées ? Arrêtez de les entasser pour rien ! Si l’on prend l’exemple d’une candidature reçue, vous ne pourrez pas conserver CV et lettre de motivation d’un candidat non retenu « plus de deux ans à compter du dernier contact avec le candidat ».

 

 gdpr

Obtenez le consentement explicite de vos candidats/salariés

La bonne compréhension des utilisateurs n’est plus laissée au hasard avec le RGPD. A compter de sa mise en application, vous devrez recueillir le consentement explicite de vos candidats et de vos salariés. Cela implique de les informer en amont de vos intentions : pourquoi leur demandez-vous cette information, qu’allez-vous faire de la réponse, où allez-vous la stocker, combien de temps, qui y aura accès, etc. ? Le temps du consentement passif, obtenu à grands coups de CGV illisibles pour le commun des mortels ou de design trompeur, est révolu !

 

Garantissez la sécurité et la confidentialité des données

Vos candidats ou salariés vous ont accordé leur confiance en vous confiant leurs données dans un but bien précis. N’allez pas tout gâcher à ce stade ! Vous devez garantir la sécurité et la confidentialité de ces informations à toutes les étapes de traitement. Attention ! Cela s’applique aussi bien aux données « structurées » qu’aux non structurées. Les données structurées représentent les informations ordonnées dans votre logiciel de gestion par exemple, alors que les autres représentent toutes données personnelles qui trainent que ce soit dans un tableau Excel ou un CV oublié. 

Démontrez votre conformité au RGPD

L’une des nouveautés du RGPD, c’est que chaque entreprise doit être en mesure d’apporter la preuve du consentement de la personne à qui appartiennent les données qu’elle collecte. Elle doit également être en mesure de fournir aux salariés qui le demandent toutes les données personnelles récoltées et ce, dans un délai d’un mois. En plus de cela, elle doit pouvoir démontrer qu’elle a pris toutes les mesures au niveau technique comme organisationnel pour respecter la sécurité et la confidentialité de ces données conformément à la règlementation.

 

Avec le RGPD, c’est le grand ménage de printemps ! Noms, coordonnées, tests, fiches de paie, badges, vidéosurveillance, et autres, listez toutes les informations que vous collectez. Cliquez pour tweeter

 

Avertir vos candidats / salariés en cas de violation des données

Avec le RGPD, finis les petits secrets ! Si malgré toutes les précautions prises, les données personnelles que vous récoltez sont détruites, perdues, altérées, divulguées ou visualisées sans autorisation, votre entreprise est tenue de le notifier à la CNIL et aux personnes concernées dans les 72 h ! Comme dans tout cas de crise, mieux vaut que le processus et le responsable de sa mise en œuvre soient clairement identifiés en amont… Ce qui nous amène au dernier point de cette check-list !

 

Recrutez un Data Protection Officer

Parce qu’au final la mise en place de toutes ces mesures, c’est du boulot, alors embauchez ! Dotez-vous d’un nouveau profil dont le rôle sera de garantir la protection de ces données. En plus d’être l’interlocuteur privilégié auprès des autorités comme la CNIL, ses compétences juridiques sur cette question lui permettront d’informer et d’accompagner les publics de l’entreprise (et au dehors si l’on prend en compte ses sous-traitants) à tous les stades du traitement de la donnée. Il aura également la lourde tâche de contrôler l’application du règlement : il doit donc bénéficier d’une grande indépendance au sein de l’entreprise !

 

L’entrée en vigueur du RGPD n’est donc pas un sujet réservé aux services marketing ou commerciaux, les ressources humaines doivent elles-aussi s’en préoccuper. Le grand public est de plus en plus sensible à la question de la protection des données personnelles, notamment suite à plusieurs scandales dont le plus récent celui de Cambridge Analytica. Vous mettre en phase avec le RGPD est donc non seulement une obligation légale (amende de 4% du CA en cas de non-respect), mais également une opportunité de renforcer votre marque employeur en posant les bases d’une relation saine et transparente avec vos candidats et vos salariés.

 

Autre article qui pourrait vous intéresser:

Technologie et travail : de nouveaux métiers