RGPD : quel impact pour les RH ?

Le Règlement général sur la protection des données (RGPD) impose aux organisations de repenser leur gestion des données. Une évolution particulièrement sensible au sein des services ressources humaines, grands collecteurs de data. 

Un nouveau règlement pour la protection des données

Le RGPD (Règlement général sur la protection des données) est un texte européen entré en application le 25 mai 2018 et qui doit harmoniser la réglementation sur le sujet au sein de l'Union. Son ambition : « Offrir davantage de droits aux personnes dont les données sont collectées et traitées », explique Merav Griguer, avocate au sein du cabinet Bird & Bird et directrice du Certificat Data protection officer de Sciences Po Executive Education. En découle une plus grande responsabilité des organisations recueillant ces mêmes données. Dans les faits, le changement n'est que partiel en France : le texte a entériné nombre de mesures qui étaient déjà en vigueur en vertu de l'application de la loi Informatique et libertés. De fait, seulement environ un tiers du contenu du RGPD est réellement porteur de nouveautés dans l'Hexagone.

De nombreuses données collectées par les services RH

Le règlement vise à encadrer l'usage des « données personnelles ». Un terme qui recouvre un très grand nombre d'informations. « Les données professionnelles, comme une adresse email professionnelle n'en sont pas moins des données à caractère personnel et doivent donc bénéficier du niveau de protection prévu dans le règlement », rappelle Merav Griguer. Nom, prénom, téléphone professionnel et personnel, salaire, bilan individuel, montant d'un bonus... Un nombre considérable de données est concerné. Des données qui sont collectées par les services des ressources humaines à de nombreuses occasions : lors d'une candidature comme au moment de l'entrée d'un salarié dans l'entreprise (numéro de sécurité sociale, inscription à une caisse de retraite...), mais aussi tout au long de son parcours dans l'organisation (jours d'absence, formations suivies...).

Repenser sa gestion des données

Le RGPD amène l'entreprise à se réorganiser. Avec, en premier lieu, la création d'une mission de DPO (data protection officer ou délégué à la protection des données). Son rôle : organiser la conformité à la réglementation en matière de protection des données à caractère personnel, issue du RGPD. Il est là pour expliquer à l'ensemble des services les devoirs et les règles à appliquer.

Mais la politique RH en matière de RGPD est loin de se limiter à la mise en place de ce nouveau poste. « Les traitements des données à caractère RH sont significativement impactés par le RGPD », assure Merav Griguer. Les services ressources humaines doivent donc repenser l'ensemble de la gestion de ces mêmes données. Elle est sous-tendue par un grand principe : la minimisation. Lors d'un recrutement, par exemple, « on ne peut collecter que les données strictement nécessaires à la finalité relative à la gestion des candidatures et du recrutement », poursuit-elle. Cela concerne tant la nature de ces informations que leur quantité. De même, les données ne seront conservées que le temps nécessaire.

Pour respecter l'ensemble de ces principes, les services RH peuvent s'appuyer sur les recommandations de la CNIL. Laquelle considère, par exemple, que deux ans est une durée raisonnable pour la conservation des données relatives au recrutement. Les réglementations en vigueur font toutefois preuve d'une certaine souplesse : la durée de conservation des informations peut par exemple être supérieure à celle recommandée si elle est justifiée par l'entreprise - la capacité des services RH à justifier leur gestion des données étant d'ailleurs un point clé pour être en phase avec le RGPD.

Respecter les droits des personnes concernées

La bonne application de la réglementation implique « le respect des droits des personnes concernées », souligne Merav Griguer. Avec, en premier lieu, « l'obligation d'information préalable par l'employeur ». La collecte d'informations peut être signalée par le biais de différents moyens de communication. Lors d'un processus de recrutement, elle peut être signifiée à l'oral, par mail ou encore via une notice remise en main propre. Une clause ou une charte sur les pratiques et la confidentialité des données peut par ailleurs être insérée dans le contrat de travail. Les traitements et leurs évolutions seront en outre régulièrement exposés aux salariés sur l'Intranet de l'entreprise mais aussi par mail. « Cela implique que la direction RH dresse l'inventaire de ces données, de leurs traitements et détermine celles dont elle a ou non besoin afin, le cas échéant, de les supprimer », précise Merav Griguer.

Dans le même temps, Les services RH doivent se soumettre à d'autres obligations : « Le respect du droit d'accès, de communication, de rectification, mais aussi potentiellement du droit à l'oubli sur ces données », ajoute-t-elle.

Enfin, le RGPD prévoit qu'une analyse d'impact relative à la protection des données (AIPD) soit réalisée lorsqu'un traitement présente « un risque élevé pour les droits et libertés des personnes concernées ». Cela peut concerner par exemple l'usage d'une caméra dans les locaux (même à des fins de sécurité) ou encore le partage de données du salarié avec des entités de l'entreprise hors Union européenne. « L'employeur devra justifier des mesures de protection et de sécurité supplémentaires », indique Merav Griguer.

De nouvelles compétences nécessaires pour les services RH

« C'est toute la culture de la donnée qu'il faut intégrer dans les pratiques RH », explique Merav Griguer. Les nouvelles missions imposées par le RGPD impliquent donc, pour les services de ressources humaines, d'acquérir de nouvelles compétences. « Ils doivent, plus que jamais, être formés aux bonnes pratiques en matière de protection des données à caractère personnel », conclut-elle. 

Présentation de la fonction du DPO par Merav Griguer

Le DPO, chef d'orchestre de la conformité

Directeur des ressources humaines au sein de l'entreprise de conseil Carewan, Frédéric Burgun est également « DPO externalisé dans des PME et des ETI », explique-t-il. Une double casquette qui lui permet de mesurer toute l'importance de la gestion des données personnelles au sein des services de ressources humaines. Et la place centrale que doit jouer le DPO. « Il a un rôle pédagogique, résume-t-il. Le DPO est là pour informer, accompagner tous les services opérationnels de l'entreprise, et notamment les RH. Il donne les principes, explique comment ils sont interprétés au sein de l'organisation et quelles sont les limites à ne pas dépasser sur le sujet. »

Le data protection officer doit réaliser en premier lieu une « cartographie précise des traitements afin d'identifier où se trouvent les données personnelles dans l'entreprise », poursuit Frédéric Burgun. Cela lui permettra de cibler d'éventuelles situations pouvant poser problème (fichiers où figurent des jugements de valeur, données stockées sans justification depuis de nombreuses années...). « Le DPO devra coconstruire avec le DRH des fiches de traitement, poursuit-il. Y seront définis les données à caractère personnel collectées, conservées, la durée et le lieu de conservation, la manière dont elles sont sécurisées et sauvegardées... ».

Chef d'orchestre de la conformité en matière de protection des données, le DPO joue ainsi un rôle clé dans l'organisation. « D'où l'importance de se former avant d'exercer cette mission » appuie Frédéric Burgun. Il a, pour sa part, suivi le certificat Data protection officer de Sciences Po Executive Education. « Une étape fondamentale à mes yeux. Elle m'a permis d'approfondir des aspects techniques et juridiques indispensables. Mais elle a été également l'occasion d'aborder d'autres thématiques comme l'éthique, la prise de parole en public qui m'ont apporté une prise de hauteur appréciable sur le sujet ».

Pour en savoir plus, retrouvez la présentation de notre formation courte Certificat Data protection officer.

Pour aller plus loin : RGPD en pratique : protéger les données de vos collaborateurs 

Crédit photo : Franck Juery