Repenser sa gestion des données
Le RGPD amène l'entreprise à se réorganiser. Avec, en premier lieu, la création d'une mission de DPO (data protection officer ou délégué à la protection des données). Son rôle : organiser la conformité à la réglementation en matière de protection des données à caractère personnel, issue du RGPD. Il est là pour expliquer à l'ensemble des services les devoirs et les règles à appliquer.
Mais la politique RH en matière de RGPD est loin de se limiter à la mise en place de ce nouveau poste. « Les traitements des données à caractère RH sont significativement impactés par le RGPD », assure Merav Griguer. Les services ressources humaines doivent donc repenser l'ensemble de la gestion de ces mêmes données. Elle est sous-tendue par un grand principe : la minimisation. Lors d'un recrutement, par exemple, « on ne peut collecter que les données strictement nécessaires à la finalité relative à la gestion des candidatures et du recrutement », poursuit-elle. Cela concerne tant la nature de ces informations que leur quantité. De même, les données ne seront conservées que le temps nécessaire.
Pour respecter l'ensemble de ces principes, les services RH peuvent s'appuyer sur les recommandations de la CNIL. Laquelle considère, par exemple, que deux ans est une durée raisonnable pour la conservation des données relatives au recrutement. Les réglementations en vigueur font toutefois preuve d'une certaine souplesse : la durée de conservation des informations peut par exemple être supérieure à celle recommandée si elle est justifiée par l'entreprise - la capacité des services RH à justifier leur gestion des données étant d'ailleurs un point clé pour être en phase avec le RGPD.
Respecter les droits des personnes concernées
La bonne application de la réglementation implique « le respect des droits des personnes concernées », souligne Merav Griguer. Avec, en premier lieu, « l'obligation d'information préalable par l'employeur ». La collecte d'informations peut être signalée par le biais de différents moyens de communication. Lors d'un processus de recrutement, elle peut être signifiée à l'oral, par mail ou encore via une notice remise en main propre. Une clause ou une charte sur les pratiques et la confidentialité des données peut par ailleurs être insérée dans le contrat de travail. Les traitements et leurs évolutions seront en outre régulièrement exposés aux salariés sur l'Intranet de l'entreprise mais aussi par mail. « Cela implique que la direction RH dresse l'inventaire de ces données, de leurs traitements et détermine celles dont elle a ou non besoin afin, le cas échéant, de les supprimer », précise Merav Griguer.
Dans le même temps, Les services RH doivent se soumettre à d'autres obligations : « Le respect du droit d'accès, de communication, de rectification, mais aussi potentiellement du droit à l'oubli sur ces données », ajoute-t-elle.
Enfin, le RGPD prévoit qu'une analyse d'impact relative à la protection des données (AIPD) soit réalisée lorsqu'un traitement présente « un risque élevé pour les droits et libertés des personnes concernées ». Cela peut concerner par exemple l'usage d'une caméra dans les locaux (même à des fins de sécurité) ou encore le partage de données du salarié avec des entités de l'entreprise hors Union européenne. « L'employeur devra justifier des mesures de protection et de sécurité supplémentaires », indique Merav Griguer.
De nouvelles compétences nécessaires pour les services RH
« C'est toute la culture de la donnée qu'il faut intégrer dans les pratiques RH », explique Merav Griguer. Les nouvelles missions imposées par le RGPD impliquent donc, pour les services de ressources humaines, d'acquérir de nouvelles compétences. « Ils doivent, plus que jamais, être formés aux bonnes pratiques en matière de protection des données à caractère personnel », conclut-elle.