Applicable depuis le 25 mai 2018, le RGPD (Règlement général sur la protection des données) concerne toutes les entreprises en France, quelle que soit leur taille. En plus des fichiers clients et fournisseurs, vous gérez forcément, en tant qu’employeur, des données personnelles sur vos salariés et candidats. Voici quelques conseils pour traiter ces informations RH dans le respect du RGPD.
Étape 1 : identifier toutes les données personnelles traitées
par l’entreprise
Pour rappel, une « donnée personnelle » ou « donnée à caractère personnel» correspond à
toute information se rapportant à une personne physique identifiée ou
identifiable, directement ou indirectement. Il peut s’agir du nom et des coordonnées d’un employé ou d’un candidat,
bien sûr, mais également d’une photo, d’une vidéo, d’un numéro de sécurité
sociale, d’indications sur son parcours, ses goûts ou sa famille
(ayants-droit, personne à prévenir en cas d’urgence, etc.).Les données
professionnelles (ex : adresse email professionnelle, numéro de téléphone
professionnel) sont aussi des données personnelles soumises au respect du
RGPD !
TPE, PME ou grand groupe : les entreprises stockent toutes ce type
d’informations sur leurs salariés afin de faciliter les démarches
administratives et répondre aux exigences légales. Pour vous assurer que
vous traitez ces données conformément au RGPD, il vous faut tout d’abord
recenser les fichiers (en version informatique ou papier) existants au sein
de votre structure.
Avec l’aide des services concernés, pensez notamment aux données utilisées
pour :
-
la gestion de la paie ;
-
le registre unique du personnel ;
-
le recrutement de nouveaux salariés ;
-
l’organisation de l’équipe (photos dans un trombinoscope, coordonnées
dans un annuaire…) ;
-
la formation ;
-
la sécurisation des locaux ou des biens de l’entreprise
(vidéosurveillance, géolocalisation des véhicules…) ;
-
etc.
Vous externalisez la gestion de la paie ou le recrutement ?
Votre sous-traitant est lui aussi tenu de respecter le
RGPD. Il a, de plus, une obligation d’alerte et de conseil
en matière de protection des données.
> À lire aussi :
RGPD : 5 actions que votre entreprise peut mettre en place
Étape 2 : faire le tri parmi les données conservées et
établir un registre RGPD
Vous avez listé tous les fichiers contenant des informations personnelles ?
Vous devez maintenant établir un « registre des activités de traitement », précisant la
finalité de chaque fichier et le type des données collectées. La CNIL
(Commission nationale de l’informatique et des libertés), responsable de la
bonne application du RGPD en France, met à votre disposition un
modèle de registre RGPD pour vous aider.
Profitez-en pour faire le ménage dans vos fichiers : supprimez les données qui ne sont pas indispensables et fixez une durée
de conservation maximale pour chaque type de données. Certaines durées sont laissées à
l’appréciation du responsable du fichier, d’autres sont imposées par la loi. Ainsi, vous ne pouvez pas conserver les données personnelles d’un candidat non
retenu plus de 2 ans(et sous réserve qu’il accepte formellement de rester dans votre vivier
pendant ce délai). La CNIL vous propose un
guide pratique sur les durées de conservation pour y voir plus clair.
Les informations personnelles recueillies auprès des
employés et candidats doivent être pertinentes et
proportionnées par rapport à l’objectif pour lequel vous
collectez ces données. Nul besoin, par exemple, de demander
à un candidat en phase d’entretien son numéro de sécurité
sociale. Les informations liées à la religion, à la santé,
aux opinions politiques ou à l’activité syndicale de vos
salariés ne peuvent pas non plus être collectées, sauf dans
des cas très particuliers et strictement encadrés. En cas
de contrôle, la CNIL pourra réclamer le registre des
activités de traitement de l’entreprise.
Étape 3 : informer vos équipes et leur donner la possibilité
d’exercer leurs droits
Lorsque vous demandez des informations à vos collaborateurs ou à des
candidats, le RGPD vous impose d’être transparent sur l’utilisation de ces données RH.
Informez-les des modalités de traitement et des conditions d’exercice de
leurs droits : droit d’accès, d’opposition, de rectification, de
limitation, d’effacement, de portabilité des données. Rappelez-vous
notamment que vos salariés et anciens salariés peuvent solliciter une copie
des informations les concernant (bulletins de salaires, emails, entretiens
d’évaluation, utilisation du badge…).
Soyez réactif et prévoyez le processus adéquat en interne pour répondre
dans les meilleurs délais aux requêtes : le RGPD fixe un délai d’un mois maximum pour une « demande simple ».
Étape 4 : sécuriser les données RH de vos
collaborateurs
En tant qu’employeur, vous détenez de nombreuses données personnelles et
confidentielles sur vos salariés : coordonnées bancaires, numéro de
sécurité sociale… Vous êtes tenu de garantir au mieux la sécurité de ces données, par la mise
en place de mesures informatiques et physiques.
> À lire aussi :
Télétravail et cybersécurité : comment protéger les données de votre
entreprise ?
Quelques bonnes pratiques en matière de protection des données RH :
-
rappelez à votre équipe les règles élémentaires de sécurité (choix d’un
mot de passe long et complexe, verrouillage de son ordinateur,
procédure de sauvegarde…) ;
-
sensibilisez vos collaborateurs aux enjeux autour du traitement de
données personnelles (respecter la confidentialité des données, ne pas
les divulguer à des personnes non habilitées, n’accéder qu’aux données
dont on a besoin, prévoyez des durées de conservation limitées…).
Chacun est concerné par le RGPD, en tant que professionnel en relation avec
des clients, des fournisseurs ou des collègues… mais aussi en tant que
citoyen !
Vous souhaitez simplifier vos recrutements en CDD, en CDI, en intérim
ou en alternance ? Adecco vous accompagne, dans le respect, bien sûr,
du RGPD ! Rendez-vous en agence ou sur votre portail entreprise Adecco.