Données personnelles - RGPD

RGPD Données RH : comment vous mettre en conformité ?

Votre service des ressources humaines collecte des données au sujet de vos salariés. Vous êtes donc concerné par le Règlement Général sur la Protection des Données (RGPD). Retrouvez les conseils de notre cabinet d’avocats expert en protection des données personnelles sur les obligations RGPD données RH.

1. RGPD données RH : êtes-vous concerné ?

Le Règlement Général sur la Protection des Données (RGPD) concerne tous les organismes qui collectent ou traitent des données personnelles concernant des résidents de l’Union Européenne.

Votre service des ressources humaines est donc fnécessairement concerné par le RGPD. En effet, le service RH traite des données personnelles des candidats à l’embauche et des salariés depuis le recrutement jusqu’au départ de l’entreprise. Il s’agit notamment des nom et prénom, adresse, numéro de téléphone, numéro de sécurité sociale. D’autres données, comme les arrêts maladie ou les données de localisation, font l’objet d’un contrôle accru.

En cas d’irrespect du RGPD, vous vous exposez à de lourdes sanctions. En effet, la Cnil peut désormais prononcer des amendes jusque 20 millions d’euros. Il faut donc vous mettre en conformité pour éviter ce risque. Cette mise en conformité est d’autant plus importante pour les RGPD données RH. En effet, les traitements liés au recrutement ont fait l’objet de nombreux contrôles de la Cnil en 2018.

Deshoulières Avocats, cabinet expert en protection des données personnelles, vous accompagne à chaque étape de votre mise en conformité grâce à notre méthodologie en 20 étapes. Selon vos besoins, nous pouvons aussi effectuer uniquement la mise en conformité de vos traitements RGPD données RH.

2. RGPD et RH : Nommer un DPO

Le Délégué à la Protection des Données (ou DPO) est le chef d’orchestre de votre conformité RGPD. Il vous informe et vous conseille sur toutes les questions relatives à la protection des données personnelles. Il est aussi le contact privilégié de la Cnil.

Même si vous n’êtes pas soumis à l’obligation de nommer un DPO, sa désignation est fortement recommandée (notamment par la Cnil). En effet, il dispose des connaissances nécessaires à la bonne application du RGPD, notamment concernant les nouvelles obligations à mettre en place au sein de votre service de ressources humaines. Un DPO compétent permet ainsi de réduire le risque de sanctions.

Le DPO sensibilise les acteurs RH de votre entreprise aux questions de protection des données personnelles. De plus, il est associé à la mise en place de tous les fichiers RGPD données RH et vérifie leur conformité au RGPD.

Deshoulières Avocats intervient en tant que DPO externe auprès de nombreux clients. Nous vous garantissons un niveau d’expertise élevé ainsi qu’une indépendance totale, conformément aux dispositions du RGPD.

3. RH et RGPD : Mettre en place votre registre de traitement

Vous avez désormais l’obligation de mettre en place un registre pour chacun de vos traitements de données personnelles. Il vous faut donc créer un registre spécifique pour votre service RH. Il doit décrire précisément :

  • Les catégories de données traitées.
  • Les risques potentiels du traitement, par exemple lors du traitement des arrêts maladie.
  • La finalité du traitement, c’est-à-dire la raison pour laquelle vous collectez ces données.
  • Les destinataires des données, c’est-à-dire toutes les personnes qui ont accès aux données du traitement.
  • Tous les moyens de sécurisation des données mis en œuvre.
  • Le lieu où les données sont hébergées.
  • Le cas échéant vous devez aussi dresser la liste de tous vos sous-traitants. Ils doivent eux même être en conformité avec le RGPD.

Après avoir effectué un audit RGPD de votre entreprise, Deshoulières Avocats dresse la cartographie de vos traitements et procède à la création de vos registres de traitement. Nous procédons à un horodatage électronique des documents fournis afin de pouvoir les opposer à la Cnil.

4. RGPD données RH : Limiter l’accès aux données

Le respect du RGPD implique de limiter l’accès des données RH aux personnes concernées :

  • Seules les personnes qui gèrent le personnel doivent avoir un accès complet aux données personnelles de vos employés.
  • Toutes les autres personnes ne doivent pouvoir consulter que les données qui sont nécessaires à leurs fonctions. Par exemple, un supérieur hiérarchique peut avoir besoin de consulter les données d’évaluation d’un employé ou le montant de sa rémunération.

Par ailleurs, vous devez assurer cette limitation par un contrôle effectif de l’accès aux données. Les actions des personnes habilitées doivent être scrupuleusement enregistrées (qui consulte quelle donnée, quand et pourquoi).

5. RGPD et RH : Limiter la durée de conservation des données

Pour être en conformité avec les dispositions du RGPD, il faut respecter les obligations légales de conservation des données :

  • Un candidat non retenu doit avoir la possibilité de demander la destruction de son dossier dès la fin de la phase de recrutement. S’il n’a pas demandé cette destruction, les données doivent être détruites 2 ans après le dernier contact.
  • Les données sur les employés sont conservées jusqu’à ce qu’il quitte l’entreprise. Certaines données doivent cependant être conservées plus longtemps. Par exemple, les bulletins de paie doivent être conservés pendant 5 ans.

Vous devez donc mettre en place un archivage sélectif afin de ne conserver que les données visées par une obligation légale. Par ailleurs, veillez à faire un tri dans vos archives afin de vérifier que vous n’avez pas conservé injustement des données.

6. RH et RGPD : Règles particulières à certaines catégories de données

Des règles spécifiques encadrent certains traitements de données. Parmi ceux qui concernent des données RH, on retrouve :

  • La géolocalisation des véhicules.
  • L’utilisation d’outils informatiques, par exemple pour contrôler l’utilisation d’internet.
  • Le contrôle de l’accès aux locaux professionnels.
  • Les dispositifs de vidéosurveillance.
  • L’écoute et l’enregistrement des appels téléphoniques.

Si votre entreprise se trouve dans l’une de ces situations, il est fortement recommandé de faire appel à un professionnel. En effet, les règles qui s’appliquent à ces catégories sont particulièrement complexes et peuvent être difficiles à mettre en œuvre. De plus, ces catégories de données sont considérées comme particulièrement sensibles et font donc l’objet d’un contrôle accru de la Cnil.

7. RGPD données RH : Respecter les droits RGPD des personnes

Il vous faut impérativement assurer le respect des droits RGPD des personnes. Il s’agit notamment des droits d’information, d’accès, de rectification et d’effacement des données.

  • Vous ne pouvez pas collecter de données sur un candidat ou un salarié avant de l’en avoir informé. Cette information doit être transparente et complète. Toutes les mentions obligatoires RGPD doivent apparaitre clairement, y compris les conditions de mise en œuvre de leurs autres droits.
  • Concernant les autres droits précités, vous devez y répondre dans un délai d’un mois, sur simple demande du salarié. Seul l’exercice du droit d’opposition doit être justifié par un motif légitime.

Deshoulières Avocats, cabinet expert en protection des données personnelles, vous accompagne dans la mise en conformité de vos traitements RGPD données RH.

RGPD données RH

REFERENCES :