Dans une entreprise, un grand nombre d’informations sensibles sont quotidiennement en circulation. C’est encore plus le cas depuis la gestion digitale des ressources humaines. La sécurité et la confidentialité de ces données sont donc une priorité. C’est d’autant plus vrai pour les RH, qui possèdent des données plus confidentielles et sensibles. Ce département doit donc mettre en œuvre de fortes mesures de confidentialité pour les protéger au mieux.
Le règlement général de protection des données (RGPD)
Il s’agit d’un texte réglementaire européen entré en application le 25 mai 2018. Il encadre le traitement de toutes les données personnelles au sein du territoire européen. Le RGPD a été construit autour de trois principaux objectifs :
- Responsabiliser les différents acteurs qui traitent les données ;
- Renforcer les droits de chacun ;
- Créer une coopération renforcée entre toutes les autorités de protection des données.
La protection des données
Depuis la création du RGPD, les salariés sont en droit de faire valoir leur droit de rectification, d’accès et de suppression de leurs données personnelles. Les services RH sont donc tenus de savoir parfaitement où sont stockées ces données, et doivent être capables de rapidement les rassembler pour répondre instantanément aux demandes des collaborateurs. Ils doivent regrouper tous les documents pouvant être considérés comme des données personnelles, même les plus anodins, comme par exemple les justificatifs d’absence, les notes de frais, ou encore les demandes d’entretien. Toutes ces informations doivent faire l’objet d’un traitement spécifique.
Les services de Ressources Humaines doivent donc regrouper la totalité de ces documents, habituellement stockés à différents endroits dans les dossiers personnels ou informatiques, dans un même espace de stockage. Ainsi, ils pourront en assurer la sécurité et la disponibilité, comme le demande le RGPD.
Ces services doivent repenser les données personnelles des collaborateurs en tenant compte du moindre document où apparaît une information personnelle. Quatre domaines liés aux RH sont jugés comme étant tout particulièrement sensibles : le recrutement, les déplacements (comprenant les notes de frais), la paie et les informations d’ordre médical.
Qui est concerné par le RGPD ?
Toutes les structures sont forcément soumises au RGPD, à partir du moment où elles emploient au moins une personne. Leur taille, leur localisation et leur chiffre d’affaire ne sont pas pris en compte : elles obéissent toutes au même règlement concernant les données personnelles des salariés et leur traitement.
Les entreprises peuvent collecter uniquement les données qui sont pertinentes et dont elles ont réellement besoin. Ces données ne peuvent pas être utilisées dans un autre but que celui initialement prévu. Parmi les données RH les plus courantes, on retrouve par exemple :
- L’identité des employés ;
- Le suivi de formation et de carrière des employés ;
- L’évaluation des compétences d’un candidat lors d’un recrutement ;
- Les fiches de paie ;
- Les déclarations de maladies professionnelles et d’accidents de travail ;
- Les arrêts de travail et les autres situations d’absence autorisée ;
- Le suivi des visites médicales des employés.
L’objectif du RGPD est donc que les entreprises ne demandent, n’utilisent et ne conservent que les informations personnelles absolument nécessaires.
Remanier les procédures pour une plus grande conformité
Le RGPD renforce la protection des données personnelles de chacun, à une ère de transformation numérique où les cyber-attaques sont de plus en plus nombreuses et virulentes. La sécurité et la confidentialité des données personnelles est donc primordiale. Les services de Ressources Humaines ont donc dû repenser leur mode de fonctionnement et leurs procédures pour se conformer au règlement européen.
Pour ce faire, différents procédés ont été mis en place, comme par exemple le fait de recueillir obligatoirement un consentement éclairé des candidats pour le recueil de leurs informations personnelles. En contrepartie, l’entreprise s’engage à ne conserver ces données que le temps dont elle en a besoin. Par exemple, à la fin d’un contrat à durée déterminée, les données devront obligatoirement être supprimées à la fin du contrat. Les RH ont donc dû revoir la formulation des contrats afin d’y ajouter cette clause.
Enfin, les salariés peuvent faire valoir leur droit à l’information aux RH, et doivent avoir la possibilité de consulter leurs données personnelles par l’intermédiaire d’une unique page web, depuis laquelle ils pourront modifier ou supprimer leurs données.