Je souhaite mettre en place un nouveau SIRH ; qu’en est-il de la loi RGPD ?

Quelle que soit leur taille, toutes les entreprises vont devoir se mettre en conformité avec le nouveau RGPD avant le 25 mai 2018. Les données personnelles des collaborateurs traitées par les sociétés devront être sécurisées et collectées en toute transparence. La CNIL a d’ores et déjà annoncé qu’elle porterait une attention particulière à la mise en application du nouveau règlement européen, pour permettre à chaque collaborateur de conserver la maîtrise de ses données personnelles.

1. Qu’est-ce que le RGPD ?

Le Règlement Général pour la Protection des Données (RGPD), voté par l’Union Européenne en avril 2016 et applicable à partir du 25 mai 2018, renforce et harmonise le droit des résidents européens à une plus grande maîtrise de leurs données.

Ce nouveau cadre européen concerne plus particulièrement le traitement et la circulation des données à caractère personnel, en particulier celles détenues par des entreprises.

Toute entité manipulant des données personnelles concernant des résidents européens doit se conformer au RGPD (entreprises, sous-traitants, associations...). Ceci signifie que ce texte ne s’applique pas uniquement aux organisations établies sur le territoire de l’Union Européenne. Toute entité internationale collectant et utilisant des données personnelles européennes doit aussi le respecter.

2. Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est une information qui permet d’identifier une personne physique, directement ou indirectement : un nom, une photographie, une adresse IP, un numéro de téléphone, un identifiant de connexion informatique, une adresse postale ou email, une empreinte...

Certaines données sont dites sensibles, quand elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés : opinion politique, sensibilité religieuse, engagement syndical, appartenance ethnique, orientation sexuelle, situation médicale ou idées philosophiques. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la CNIL et dont l’intérêt public est avéré.

3. Pourquoi le service des ressources humaines et le SIRH sont-ils concernés ?

Comme toute organisation manipulant des données personnelles concernant des Européens, les entreprises sont directement concernées par le RGPD. En effet leurs services des ressources humaines traitent en permanence les informations personnelles de leurs collaborateurs via des logiciels SIRH (système d’information de gestion des ressources humaines) tels que Yootalent. Certaines de ces données permettent l’identification de chaque salarié :

  • nom et prénom(s),
  • numéro d’identification au sein de la société,
  • numéro d’INSEE (ou de sécurité sociale),
  • localisation,
  • identifiants en ligne,
  • photo…

4. Quelles sont les étapes à respecter pour le SIRH ?

La première étape d’un audit de SIRH impose la vérification de la conformité du logiciel :

  • les données collectées doivent être supprimables définitivement,
  • leur durée de conservation doit impérativement être spécifiée dans la Politique de Protection et de Sécurisation des Données de l’entreprise.

Dans un second temps, les responsables RH recensent la totalité des informations utilisées par l’entreprise, puis vérifient qu’elles ne sont pas considérées comme des données sensibles.

La troisième étape impose à l’entreprise de demander ou redemander le consentement éclairé, écrit, clair et explicite de chaque collaborateur avec la possibilité pour celui-ci de revenir à tout moment sur son consentement. Un consentement éclairé suppose que l’entreprise informe ses collaborateurs sur :

  • les données utilisées,
  • l’utilisation faite de ces données,
  • et la durée de conservation de celles-ci.

Quatrième point à aborder lors de la mise en conformité du SIRH : la sécurisation des informations. L’entreprise doit se demander : qui a accès à quoi, et par quel biais ? Les droits d’accès aux bases de données doivent être clairement définis, et limités aux réelles nécessités des missions de chaque utilisateur. En cas de vol de données par un cybercriminel ou de faille de sécurité ayant entraîné une fuite des informations, l’entreprise devra obligatoirement en informer ses collaborateurs.

Enfin, la totalité des informations recueillies lors de cet audit devra être consignée dans le Registre des Traitements dont voici un modèle proposé par la CNIL : https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx

5. Qu’encourent les entreprises en cas de manquement ?

Les plafonds des sanctions en cas de non-respect du RGPD sont particulièrement élevés. Les entreprises s’exposent à des amendes allant jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires annuel mondial total, sachant que c'est le montant le plus élevé qui sera retenu entre les deux cas de figure.

En sa qualité de responsable du traitement, chaque entreprise doit aussi veiller à ce que ses sous-traitants respectent le RGPD, sous peine d’en partager les sanctions financières. Ce partage de responsabilité fait courir un risque plus lourd aux PME-TPE qui ne disposent pas de services juridiques ou de personnels dédiés à ce contrôle des entreprises partenaires.

N'hésitez pas à partager cet article ;-)