Le RGPD et la gestion des données RH

Publié le par BigD1strict
RGPD gestion des données personnelles RH Ressources humaines DPO

RGPD gestion des données personnelles RH Ressources humaines DPO

 

 

 

Le Règlement général sur la protection des données (RGPD) constitue la pierre angulaire de la protection de la vie privée depuis son entrée en vigueur le 25 mai 2018 sur le territoire de l’Espace économique européen. Dans le domaine des ressources humaines, il est crucial : en effet, les employeurs traitent des informations relatives à leurs salariés hautement personnelles (par exemple, données bancaires, NIR, données relatives aux infractions, condamnations et mesures de sureté, etc.), voire sensibles (par exemple, données de santé, etc.). Ils doivent donc assurer une gestion responsable, transparente et sécurisée de ces données. En effet, au-delà d’un impératif légal, le RGPD favorise la confiance au sein de l’organisation.

 

Pour relever ces défis et se doter d’une expertise solide, de nombreuses entreprises choisissent de s’appuyer sur un DPO externe tel que Nouvel Horizon Conseil, qui les accompagne dans la mise en conformité du service RH, la formation des équipes et le suivi continu des bonnes pratiques.

 

Définition et importance du RGPD dans le contexte RH

Le RGPD pose des principes fondamentaux, tels que la licéité, la loyauté et la transparence (article 5 du RGPD), la limitation des finalités, la minimisation des données, l’exactitude des informations collectées, la limitation de la conservation et la sécurité des données.

En RH, ces principes prennent une dimension particulière. Les services RH manipulent des données très variées : données d’identité et d’état civil, coordonnées, données bancaires, informations relatives à l’état de santé dans le cadre des visites médicales, données présentes sur le contrat de travail, etc. Les risques de divulgation non autorisée, de piratage ou de partage illégitime sont donc réels. Et, lorsque les données manipulées par les services RH sont sensibles (article 9 du RGPD), les employeurs sont soumis à des conditions de traitement plus strictes afin de protéger au mieux la vie privée des salariés.

En somme, le RGPD, loin d’être une simple contrainte administrative, constitue un levier d’amélioration pour la gestion des ressources humaines. Il oblige les employeurs à mettre en place une politique interne claire, sécurisée et respectueuse de la vie privée, tout en soutenant la confiance et la satisfaction des collaborateurs à l’égard de leur entreprise.

 

Types de données personnelles collectées par les services RH

Les départements RH traitent quotidiennement une large gamme de données personnelles, souvent réparties dans différentes catégories :

  1. Données d’identification : nom, prénom, date de naissance, adresse, coordonnées bancaires, numéro de Sécurité sociale, etc.
  2. Données contractuelles : contrat de travail, avenants, clauses spécifiques liées à l’emploi, historique des missions, etc.
  3. Données sensibles : selon l’article 9 du RGPD, il s’agit notamment des informations de santé (arrêts maladie, restrictions médicales, vaccination, handicap), de l’origine raciale ou ethnique, des opinions politiques, des convictions religieuses ou philosophiques, de l’appartenance syndicale, ou encore des données biométriques utilisées à des fins d’identification. Le traitement de ces données est strictement encadré et requiert des bases légales solides (ex. obligation légale, recueil de consentement explicite dans certains cas).
  4. Données liées à la paie et à la gestion administrative : bulletins de salaire, relevés d’heures, informations pour les déclarations sociales, etc.
  5. Données relatives à la gestion de carrière : évaluation professionnelle, plans de formation, mobilité, entretiens annuels, gestion des performances.
  6. Données issues des processus de recrutement : CV, lettres de motivation, comptes rendus d’entretien, tests de personnalité ou de compétences, etc.

Compte tenu de la variété de ces données, leur traitement et sa sécurisation doivent faire l’objet d’une attention particulière. La moindre erreur de manipulation ou de stockage peut entraîner une violation de confidentialité, se traduire par une atteinte à la vie privée des collaborateurs ou des candidats et, dans les cas les plus graves, déboucher sur des procédures disciplinaires et/ou judiciaires.

 

Quelles sont les obligations légales des employeurs ?

Conformément au RGPD, les employeurs sont considérés comme responsables de traitement lorsqu’ils déterminent les finalités et les moyens du traitement des données RH. Plusieurs obligations légales incombent alors à ces « responsables de traitement » :

  1. Licéité, loyauté et transparence du traitement :
    • Les données doivent être collectées pour une finalité déterminée, explicite et légitime : par exemple, la gestion administrative ou la paie.
    • Les salariés et candidats doivent être informés de manière claire et accessible sur l’utilisation qui sera faite de leurs données (finalités, durée de conservation, destinataires, etc.).
  2. Base légale du traitement :
    • Le traitement doit reposer sur l’un des fondements juridiques prévus par la loi : par exemple, une obligation légale, l’exécution d’un contrat de travail, le consentement, l’intérêt légitime du responsable de traitement, etc.
    • Pour les données sensibles (santé, opinions, biométrie, etc.), des bases légales spécifiques sont requises (article 9 du RGPD), comme par exemple, le consentement explicite de la personne ou la protection de ses intérêts vitaux dans des situations exceptionnelles.
  3. Sécurité des données :
    • Les employeurs doivent mettre en place des mesures techniques et organisationnelles afin de protéger les données contre toute perte, divulgation ou accès non autorisé : par exemple, par un contrôle d’accès, un chiffrement ou une pseudonymisation des données, des formations du personnel, etc.
  4. Limitation de la conservation :
    • Les données RH ne peuvent être conservées indéfiniment : il convient de déterminer une durée de conservation proportionnée aux finalités comme par exemple, une durée raisonnable de conservation des dossiers de candidatures non retenues, souvent 2 ans au maximum etc.
  5. Droits des personnes concernées (articles 12 à 23 du RGPD) :
    • Les employeurs sont tenus de faciliter et répondre aux demandes d’accès, de rectification, d’effacement ou de limitation du traitement formulées par leurs collaborateurs.
    • Ils doivent également prévoir des procédures internes pour répondre efficacement et dans les délais réglementaires (généralement un mois) à ces demandes.
  6. Tenue d’un registre des traitements (article 30 du RGPD) :
    • Les employeurs doivent établir et conserver un registre décrivant les traitements de données effectués, notamment leur finalité, la catégorie de données, la durée de conservation, les mesures de sécurité, etc.
  7. Notification des violations de données (articles 33 et 34 du RGPD) :
    • En cas de violation de données (piratage, perte, divulgation non autorisée), les entreprises doivent notifier l’autorité de contrôle compétente (la CNIL en France) dans les 72 heures suivant la découverte de l’incident, et informer les personnes concernées si la violation présente un risque élevé pour leurs droits et libertés.

 

Quelles sont les bonnes pratiques pour garantir la conformité ?

Politique interne de protection des données

La première étape pour garantir la sécurité des données en matière RH est l’élaboration d’une politique interne de protection des données claire, cohérente et énonçant les engagements de l’entreprise en matière de protection des données. Cette politique doit mentionner :

  • Les finalités de la collecte de données (recrutement, paie, gestion des carrières, etc.).
  • Les durées de conservation.
  • Les mesures de sécurité adoptées.
  • Les droits des employés et la manière de les exercer.

Elle doit être facilement accessible aux collaborateurs, par exemple via l’intranet de l’entreprise ou un document remis lors de l’embauche.

Minimisation des données

Le principe de minimisation exige de ne collecter que les informations strictement nécessaires aux finalités poursuivies. Par exemple, dans le cadre d’un recrutement, éviter de demander des renseignements sans rapport direct avec les compétences ou l’aptitude nécessaires au poste, telles que la situation familiale, l’origine ethnique, etc.

Mesures techniques et organisationnelles

  • Contrôle d’accès : limiter l’accès aux données RH aux seules personnes habilitées à en connaître (services RH, managers directement concernés, etc.).
  • Chiffrement : chiffrer les fichiers les plus sensibles et mettre en place des mots de passe robustes.
  • Pseudonymisation : dans la mesure du possible, remplacer les données directement identifiantes (nom, prénom) par des identifiants internes, afin de réduire le risque de réidentification suite à une fuite de données.
  • Sauvegarde régulière : prévoir des sauvegardes sur des serveurs sécurisés et dans la mesure du possible les répliquer pour éviter la perte irréversible de données.

Formation et sensibilisation du personnel

Les collaborateurs des services RH, et plus largement tous les salariés amenés à manipuler des données personnelles, doivent être régulièrement formés et sensibilisés aux exigences du RGPD. Les bonnes pratiques en matière de sécurité informatique (e-mails de phishing, partage de mots de passe, utilisation de messageries sécurisées, etc.) doivent faire l’objet d’une attention continue.

Respect des droits des collaborateurs

Les processus internes doivent permettre :

  • La consultation des dossiers personnels sur simple demande du salarié.
  • La mise à jour des informations en cas d’inexactitude.
  • La suppression ou la limitation de l’accès à des données obsolètes ou non nécessaires.

Contrats de sous-traitance

Lorsque des prestataires extérieurs interviennent (recrutement, solution de paie, gestion de la mutuelle, etc.), il est crucial de mettre en place des contrats de sous-traitance conformes (article 28 du RGPD). Ces contrats doivent préciser :

  • Les obligations et responsabilités de chaque partie : respect des principes RGPD, sécurité, durée de conservation des données, etc.
  • Les sanctions ou recours possibles en cas de manquement.

 

Quelles sont les conséquences en cas de non-conformité ?

Le non-respect des obligations RGPD expose l’entreprise à plusieurs risques :

  1. Sanctions administratives : en France, la CNIL peut infliger des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise, selon la gravité des manquements.
  2. Actions en justice : les salariés ou candidats concernés peuvent engager la responsabilité civile de l’entreprise en réclamant des dommages et intérêts pour préjudice moral ou financier subi (perte d’opportunité, discrimination, etc.).
  3. Risques réputationnels : une violation de données RH peut entacher la réputation de l’entreprise, fragiliser la relation de confiance avec les employés et affecter l’attractivité pour de futurs talents.
  4. Pénalités internes : dans certains cas, les dirigeants ou responsables peuvent également être sanctionnés sur le plan disciplinaire ou pénal en cas de négligence grave.

Le coût global d’une non-conformité va donc bien au-delà des seules sanctions financières : la crédibilité de l’entreprise en tant qu’employeur et prestataire de services peut être en effet, durablement mise à mal.

 

Exemples concrets ou études de cas

Cas d’un recrutement non conforme

Lors de ses processus de recrutement, une entreprise collecte systématiquement certaines informations sans rapport direct avec l’emploi, telles que les origines culturelles, les convictions religieuses, l’état de santé détaillé, des informations relatives aux conjoints et membres de la famille etc. En cas de contrôle, la CNIL pourrait estimer que cette pratique outrepasse le principe de minimisation des données prévu par le RGPD et infliger une sanction. Pour éviter cela, l’entreprise doit restreindre le recueil d’informations à ce qui est strictement nécessaire pour évaluer la candidature.

Violation de données due à une mauvaise sécurisation

Un employeur conserve sur un serveur non chiffré et accessible à l’ensemble du personnel l’intégralité des dossiers de santé de ses salariés (arrêts de travail, comptes rendus médicaux). Par manque de politique de droits d’accès, l’information se retrouve potentiellement visible par des tiers non autorisés, ce qui représente une violation du RGPD. L’entreprise risque alors une sanction et doit :

  • Notifier la CNIL dans les 72 heures.
  • Informer les personnes concernées si le risque pour leurs droits et libertés est jugé élevé.
  • Mettre en place immédiatement des mesures correctives (chiffrement, accès restreint, etc.).

Utilisation d’outils de gestion des talents

Dans le cadre de la gestion de carrière, certaines organisations mettent en place des outils numériques pour automatiser l’évaluation des performances ou la mobilité interne. Si ces outils traitent des données sensibles (par exemple, par des évaluations psychologiques), il est primordial de :

  • Vérifier la base légale du traitement (le consentement explicite, par exemple).
  • Sécuriser la transmission et le stockage.
  • Informer clairement les salariés sur l’objectif de ces évaluations et la manière dont elles sont utilisées.

En illustrant nos propos par de tels scénarios, nous espérons que les entreprises prennent conscience des nombreuses situations de la vie quotidienne où le traitement des données RH se doit d’être scrupuleusement encadré.