Rappel sur la loi
Selon l’article 25 du règlement RGPD, “Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée”.
Application de la loi
L’article de loi ci-dessus impose aux services RH de revoir toutes leurs données personnelles utilisées et de réduire leur traitement. En d’autre termes, vous devrez vérifier que toutes les données que vous utilisez sont utiles et nécessaires à votre activité. En outre, vous devez pouvoir justifier pourquoi vous stocker et utiliser ces données. Par ailleurs, l'entreprise doit vérifier qui a accès aux données et doit justifier leurs utilisations. Pour ce faire l’entreprise doit analyser tous ses processus RH dès le recrutement et cela dans tous les supports de données (SIRH, fichier excel, etc..).
Par exemple, lors de la phase de recrutement, le service des ressources humaines se doit d’être très attentif. L'entreprise engrange de nombreuses données personnelles notamment grâce aux curriculums vitae. Selon la législation RGPD les entreprises qui conservent les CV et autres données personnelles relatives aux candidatures doivent être gardées dans la limite de 2 ans (sauf si le candidat donne son accord). En effet, le candidat doit par la suite avoir un droit d'accès à ses informations (modifier ou supprimer).
Tout ceci vaut également pour le process d’on boarding. Les recruteurs et autres collaborateurs RH qui recueillent les informations doivent le faire uniquement pour constituer les contrats de travail ou autres formalités administratives. Comme évoquées précédemment ces personnes doivent être connues et identifiées comme “ayant droit”.
Mise en conformité RGPD de votre SIRH
Comment savoir si l’on est en conformité avec le Règlement Général de la Protection des Données ?
- Liste des données : l'entreprise doit pouvoir référencer et mettre à disposition toutes les données personnelles traitées.
- Autorisation : vous devez pouvoir garantir l’accès et la sécurité des données de vos collaborateurs..
- Data Protection Officer : un DPO est un collaborateur (interne ou prestataire externe à l’entreprise) qui doit diriger la mise en conformité. Il s’agit d’un spécialiste juridique et technique de la RGPD. De ce fait il doit avoir accès à toutes les informations nécessaires au pilotage de la réforme.
- Informer vos collaborateurs : vous devez faire passer une note afin que tous vos collaborateurs soient au courant de votre transformation. En outre, l'entreprise doit avoir obtenue le consentement de TOUS ses collaborateurs.
Nous nous devons de vous rappeler que cette note doit être déjà en place depuis mai 2018.
La CNIL précise six étapes pour mettre en oeuvre une mise en conformité :
- Désigner un pilote
- Cartographier
- Prioriser
- Gérer les risques
- Organiser les processus internes
- Documenter la conformité
