Les ressources humaines comptent parmi les domaines les plus concernés par le RGPD entré en application en mai 2018.
Les affaires les plus médiatisées relatives au RGPD (Règlement général de protection des données personnelles) concernent souvent les données personnelles collectées dans un cadre marketing ou commercial. Mais le champ d'application de la réglementation ne s'arrête pas là - et les sanctions en cas de non-respect sont les mêmes : l'amende prévue peut théoriquement atteindre 4 % du chiffre d'affaires de l'entreprise…
Les RH, un domaine particulièrement exposé
S'il est un domaine particulièrement concerné par ce règlement, c'est bien les RH, dont les fichiers sont riches de données personnelles. À tel point que les pouvoirs publics n'avaient pas attendu le règlement européen pour s'emparer du sujet : la loi Informatique et Libertés de 1978, puis la loi sur la discrimination de 2008 comportent des éléments relatifs aux données traitées par les ressources humaines.
Toutes les étapes de la vie du contrat de travail sont concernées
Le RGPD touche l'ensemble des étapes de la vie du contrat de travail, depuis le recrutement jusqu'à la rupture en passant par la gestion courante. Le règlement responsabilise l'entreprise. Elle n'a plus besoin de demander d'autorisation à la CNIL (Commission nationale informatique et liberté), mais doit mettre en place un système de sécurisation des données et être capable prouver son efficacité en cas de plainte ou de contrôle.
Des points de vigilance
Certains points de vigilance s'imposent :
- Quelle est la durée de conservation des données traitées ?
- Comment informer les salariés sur la façon dont on utilise leurs données personnelles ?
- Comment sécuriser le système ?
- Comment s’assurer de la conformité lors des traitements effectués par des partenaires extérieurs ?
Ce dernier point est particulièrement sensible : cabinets de recrutement, sociétés spécialisées dans la paie, autres intervenants et consultants doivent également présenter des garanties de conformité au RGPD.
Associer les collaborateurs
Autre enjeu important : sensibiliser les collaborateurs qui travaillent au quotidien sur des données personnelles pour leur faire acquérir une sorte de réflexe RGPD.
Enfin, il apparaît essentiel que les règles du jeu soient acceptées et partagées par tous. Pourquoi ne pas transformer la contrainte en opportunité pour repenser son système de gestion et de traitement des données ? Simplifier et sécuriser les procédures peut ainsi devenir un véritable projet d'entreprise, auquel on peut associer les partenaires sociaux et les collaborateurs.
Depuis 2007, le 28 janvier est dans toute l'Union Européenne la Journée de la protection des données. La date est désormais célébrée dans le monde entier (nom anglais : Privacy Day). Plus d'information sur le site du Conseil de l'Europe.