En vigueur depuis le 25 mai 2018, Le Règlement Général sur la Protection des Données (RGPD) assure la protection des données personnelles des candidats et des employées. Ayant profondément transformé la fonction des ressources humaines, le RGPD peut contribuer à l’attractivité de l’entreprise ainsi qu’à sa cohésion.
Le respect des règles du RGPD, sous le contrôle de la CNIL, est devenu l’une des principales responsabilités du département des ressources humaines. En effet, la violation de ces règles expose l’entreprise à des sanctions financières pouvant se monter jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel. C’est dire l’importance de l’enjeu.
En effet, l’utilisation des données personnelles sans l’accord des employés ou des candidats à la recherche d’un emploi reviendrait à les déposséder du droit à disposer de leurs données, à protéger leurs vies privées, tout en les exposant à des risques d’abus. Or, la confiance constitue l’une des pierres angulaires du succès et de la cohésion des entreprises. Aussi, l’application des règles du RGPD par les responsables RH est devenue un élément incontournable du succès de l’entreprise.
Les données protégées par le RGPD
L’utilisation des données personnelles des candidats et des employés à des fins purement commerciales, sans l’accord de ces derniers, a conduit les instances européennes et françaises à réagir pour protéger le droit à la vie privée
Or, dès qu’un candidat postule à une offre d’emploi, le département RH recueille, stocke et utilise des données personnelles. Plus tard, une fois le candidat recruté, d’autres informations sont ajoutées au dossier RH de l’employé.
C’est pourquoi le RGPD oblige désormais les responsables RH à veiller à la protection des données « se rapportant à une personne physique identifiée ou identifiable ». Il s’agit notamment des :
- Prénom et nom ;
- Date et lieu de naissance ;
- Numéro de sécurité sociale ;
- Adresse personnelle ;
- Numéro de téléphone ;
- Adresse courriel ;
- Informations concernant la rémunération ainsi que les couvertures sociales et médicales ;
- Les photographies prises pour l’exercice de la profession ;
- Les justifications d’absence ;
- Les données biométriques ;
- Les appartenances syndicales, etc…
L’impact du RGPD dans l’activité RH de collecte des données personnelles
Le RGPD autorise les responsables RH à collecter automatiquement certaines données personnelles, tels que le nom, le prénom, la date de naissance, etc. En revanche, la collecte de données définies comme « sensibles », comme les opinions syndicales, politiques, les données biométriques, les informations sur la santé, etc… est strictement interdite ou bien fait l’objet d’un encadrement très strict.
Outre la collecte de données, le RGPD impose aux responsables des ressources humaines de garantir la traçabilité des données et de toutes les utilisations qui en sont faites.
Le RGPD dans la fonction RH : une obligation d’informer
Afin de maintenir l’entreprise en conformité avec ses obligations réglementaires, et ainsi la protéger contre d’éventuelles sanctions financières, les responsables des Richesses Humaines (RH) sont tenus d’apporter aux salariés certaines informations. Ci-dessous, figurent quelques exemples d’obligations d’information imposées par le RGPD au RH :
- Le nom et les coordonnées de la personne en charge du traitement des données ;
- Les coordonnées du délégué à la protection des données pour les entreprises dont l’une des activités consiste à « réaliser un suivi régulier et systématique de personnes », tels que les compagnies d’assurance, les opérateurs téléphoniques, etc… ;
- Les raisons de la collecte des informations : il peut s’agir de la gestion des salaires ;
- Le texte de droit sur lequel repose l’obligation de la collecte des données ;
- Les destinataires des données ;
- La durée de conservation des données ;
- Les droits d’accéder aux données, à les modifier, à en limiter l’usage ou leur transfert vers d’autres utilisateurs ;
- Le droit conféré par le RGPD à saisir la CNIL.
Le RGPD dans la fonction RH : le devoir de protéger l’accès aux données du personnel
Les candidats ainsi que les employés doivent être assurés que leurs données ne seront ni utilisées en dehors de la gestion des carrières, ni partagées avec des utilisateurs extérieurs à l’entreprise. A cette fin, les responsables des ressources humaines doivent mettre en place des dispositifs conférant à certains responsables des accès limités aux dossiers des employés.
Les responsables RH doivent également veiller à la suppression des données lorsqu’elles ne sont plus utilisées après un certain délai ou dans les situations prévues par la loi. Enfin, en cas d’accès aux bases de données personnelles par un tiers non-autorisé, l’employeur doit informer l’autorité de contrôle « dans les meilleurs délais », soit dans les 72 heures.
Le RGPD et les nouvelles responsabilités RH : les modalités de conservation et de communication des données
Le RGPD impose également aux responsables RH la mise en place de procédure facilitant la consultation des données personnelles par les personnes auxquelles elles se rapportent.
En outre, lorsqu’une entreprise constitue une entité d’un groupe échangeant des données en dehors de l’UE, les pratiques du RGPD mises en œuvre par le département RH doivent être conformes aux « règles d’entreprises contraignantes » ou « Binding Corporate Rules » (BCR). Après avoir été approuvée par le groupe, cette politique globale de gouvernance des données doit être validée par la CNIL.
Il appartient alors au département RH, assisté des responsables juridiques et du délégué à la protection des données, de s’assurer que la loi du pays du destinataire des données assure un niveau de protection identique à celui de l’UE. A défaut, le département RH doit mettre en oeuvre des mesures supplémentaires, ou bien sélectionner les données pouvant être transférées sans exposer l’entreprise à des pénalités.
Le RGPD, les RH et la relation aux candidats
Dans un marché de l’emploi connaissant une pénurie de candidats, les employeurs doivent rendre l’entreprise aussi attractive que possible. La confiance et la transparence sont donc essentielles, ce d’autant plus que les candidats se montrent sélectifs, recherchant des employeurs dignes de confiance.
Aussi, lors des procédures de recrutement, les responsables RH doivent rassurer les candidats sur l’utilisation qui sera faite de leurs données. Ils doivent également les informer de leur droit de consulter ces données ainsi qu’à demander leur retrait.
Un autre exemple de l’impact du RGPD sur les RH réside dans l’obligation d’indiquer aux candidats que leurs CV sont conservés pour une durée maximum de 2 ans à compter de la dernière communication. Au-delà de cette durée, le responsable RH doit solliciter une nouvelle autorisation de ce dernier pour conserver ces documents dans la base de données de l’entreprise.
Le RGPD : des mesures favorisant la cohésion de l’entreprise
Certes, le RGPD a changé la fonction RH en confiant aux professionnels des ressources humaines de nouvelles responsabilités. Toutefois, le RGPD contribue aussi au renforcement de la cohésion des équipes au sein de l’entreprise.
En effet, les activités de recueil des données, de leur traitement, de leur utilisation et de leur stockage tendent, de facto, à renforcer la coopération entre les responsables RH, les data analysts, ainsi que les commerciaux, pour ne citer que ces professionnels. La synergie ainsi générée conduit à une meilleure utilisation des ressources de l’entreprise et donc à son efficacité.
Le RGPD et la transformation de la fonction RH
Depuis l’introduction du RGPD, la fonction RH a subi des révolutions juridiques et technologiques. Plus que jamais, les responsables des Richesse Humaines sont devenus des garants de la politique de compliance de l’entreprise.
De plus, les multiples actions rendues nécessaires pour assurer la protection des données personnelles ont rendu plus nécessaires que jamais l’utilisation de logiciels CRM adaptés aux exigences du RGPD. Ces logiciels spécialisés secondent les responsables RH en veillant au respect des délais de conservation des données et aux obligations d’information.
Faire de la révolution du data une force de l’entreprise
La gestion des données, personnelles ou non, a profondément changé les enjeux des politiques RH et les responsabilités des entreprises.
Pour rendre votre entreprise plus attractive et lui permettre de mobiliser pleinement ses outils numériques, consultez notre guide gratuit sur le numérique et le RH.
De Frédéric Carteron