Le service des ressources humaines est l’un de ceux qui traite le plus de données personnelles, parfois sensibles (arrêts maladies, etc.). Il est donc en première ligne sur la conformité RGPD.
Une conformité au RGPD permet d’améliorer la relation de confiance instaurée avec les salariés qui sont satisfaits de voir que l’employeur traite leurs données personnelles en bonne intelligence. Cela permet aussi en cas de conflit de s’assurer d’avoir des éléments de preuves valables.
Une mise en conformité RGPD des RH passe par 5 grandes étapes :
- Cartographier les traitements
- Vérifier ses prestataires
- Supprimer les données non nécessaires
- Sécuriser les données
- Informer les salariés
Comment cartographier les traitements de données personnelles mis en place dans la société ?
Cette étape consiste à s’interroger sur sa pratique et sur les différentes données que l’on collecte. Certains rangent l’ensemble dans un dossier papier dans une armoire, certains ont un logiciel RH, certains un dossier informatique. Mais il arrive que les données soient réparties à différents endroits et différents outils utilisés. Il faut donc dans un tableur récapituler l’ensemble des données que l’on a sur les salariés (nom, prénom, arrêts maladies, copie de pièces d’identité, etc.) et où elles sont stockées.
Comment vérifier que l’ensemble des prestataires extérieurs soient conformes ?
Le traitement RH passe souvent par des comptables à l’extérieur et différents partenaires, il convient de les interroger sur le sort qu’ils donnent aux données personnelles des salariés, où ils les stockent et s’ils les transmettent à d’éventuels sous-traitants.
Comment supprimer les données non nécessaires ?
Une fois la cartographie effectuée il est fréquent de voir que beaucoup de données non nécessaires sont conservées, que des doublons existent, que des données ne sont pas à jour, et que d’autres ne sont pas sécurisées.
Par exemple une copie de permis de conduire n’est pas nécessaire, le salarié pouvant perdre son permis entre temps, et en cas d’amende seul le numéro de permis sera demandé.
De même pour les CV d’anciens candidats qu’il convient de supprimer après un certain temps, ou encore les données d’anciens salariés.
Ce changement permettra d’avoir des données à jour et d’être plus efficace.
Comment sécuriser les données ?
Une fois réorganisées les données, il sera plus facile de les sécuriser en mettant en place des accès sécurisés aux armoires contenant les dossiers ou aux dossiers informatiques en répartissant les droits par type d’utilisateur (un manager peut avoir besoin de voir les demandes de congés, mais n’a pas à avoir accès aux fiches de paies par exemple)
Comment informer les salariés et candidats ?
C’est la pierre angulaire du RGPD, comme nous l’avons vu dans un précédent article, il convient d’informer dès que l’on traite des données personnelles.
Lors de la récolte de CV il faut par exemple indiquer le sort réservé aux CV et les possibilités d’exercice des droits.
Concernant les salariés il n’est pas possible de demander leur consentement, étant donné qu’une relation de subordination existe leur consentement ne serait pas libre.
L’information aux salariés peut se faire via un document accessible à tous résumant comment sont traitées leurs données, une mention peut également être faite dans le contrat de travail. Pour plus d’informations vous pouvez consulter notre article sur le sujet.
Pour tout besoin de précisions ou d’accompagnement pour la gestion RGPD des ressources humaines n’hésitez pas à compléter le formulaire ci-dessous.
Vous pouvez également vous rendre sur notre site rgpd-rh afin de mener votre conformité RGPD des ressources humaines avec l’aide de nos experts.
Juriste de formation, basé à Bordeaux, certifié à l’exercice de la profession de DPO par le CNAM, membre de l’AFCDP. J’accompagne les sociétés et collectivités dans la mise à niveau de leurs traitements de données personnelles (RGPD) en tant que DPO ou simple conseil sur des problématiques et projets en gestation.
