RGPD : Votre SIRH est-il conforme à la nouvelle règlementation ?

RGPD et SIRH

RGPD et SIRH : quels impacts ? Depuis le 25 mai 2018 et l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), de nombreux secteurs et métiers sont en pleine réflexion pour cadrer la nouvelle gestion à mettre en oeuvre. Comme vous le savez, dans le monde de l’entreprise, c’est l’employeur qui est responsable du traitement des données de ses collaborateurs.

Que dit la loi ?

Selon l’article 25 du règlement RGPD, “Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée”.

 

RGPD et SIRH : les obligations de la DRH

L’article 5.1.C impose au service RH de revoir l’ensemble des données personnelles utilisées et de minimiser leur traitement. Concrètement, vous devez vérifier si les données personnelles que vous traitez sont réellement nécessaires pour votre développement RH. Et vous devez pouvoir justifier pourquoi vous utilisez telles ou telles données dans votre Système d’Information.

Ensuite l’entreprise doit également identifier qui a accès à ces données et pour quelles raisons. Accès en interne ou en externe dans le cas où vous utilisez un SIRH ou si vous décentralisez certains processus.

Pour cela, il est impératif d’analyser l’ensemble de vos processus RH et ce dès le recrutement.

Toutes les données sont concernées. Même celles remplies dans un fichier Excel !

 

Recrutement et On boarding

Lors de la phase de recrutement, vous brassez une quantité de données personnelles et qui plus est des données de personnes qui ne seront peut être jamais des collaborateurs de votre entreprise. Une attention particulière doit être portée. Avec la législation RGPD conserver un CV et toutes données inactives concernant un candidat est limité à 2 ans sauf si vous demandez l’accord aux candidats.

Le candidat doit ensuite avoir un moyen d’accès à ses données pour pouvoir les modifier, rectifier ou supprimer. Une adresse email de contact par exemple ou encore un accès à son profil candidat.

Les informations concernant les entretiens de recrutement constituent également des données traitées.

Tout ceci vaut également pour le process d’on boarding. Vous ne devez recueillir les informations personnelles de vos collaborateurs uniquement pour constituer le contrat de travail et les formalités administratives. Les personnes qui réalisent ces formalités doivent être connues et identifiées. Une “Habilitation” leur permet de traiter ces données.

 

Les processus RH liés au quotidien en entreprise

Gestion administrative, paie, congés, formationentretiens d’évaluation, etc…sont concernés. L’ensemble de ces processus RH comportent les données personnelles de vos collaborateurs. L’entreprise doit là aussi garantir la sécurité et la confidentialité des données qu’elle gère. Les collaborateurs doivent avoir la possibilité d’accéder, de modifier et supprimer leurs données.

Le SIRH devient un allié très important. Il permet de centraliser facilement les données et surtout les sécuriser. Pour autant, votre SIRH doit répondre aux obligations de la loi RGPD également.

Quels points analyser entre RGPD et SIRH ?

Avec votre SIRH, vous pouvez facilement rassembler et recenser les différentes données (caractère personnel, sensibles, …) concernant vos collaborateurs.

Certains éditeurs, comme Horizontal software propose des outils permettant de recueillir le consentement des collaborateurs sur l’utilisation de leurs données et de gérer l’anonymisation des données.

Ensuite, 3 points sont à vérifier absolument pour garantir la sécurisation des données :

  • Tout d’abord, la sécurité des serveurs.
  • Puis la sauvegarde des données, la durée de sauvegarde
  • En enfin, comment se fait l’accès aux modifications et à la suppression des données.

A noter qu’être en conformité avec cette législation est important aussi pour la notoriété de l’entreprise que ce soit pour ses clients que pour ses salariés. Ces derniers peuvent compter sur leur entreprise concernant la sécurisation de leurs données.

Horizontal software accompagne ses clients dans la mise en conformité RGPD. N’hésitez pas à nous contacter rgpd@horizontalsoftware.com pour en savoir plus sur notre dispositif d’accompagnement.

 

Les points essentiels pour la mise en conformité RGPD

Pour terminer, voici un petit questionnaire pour vous aider à diagnostiquer votre avancement dans la mise en conformité du Règlement Général de la Protection des Données.

  1. Avez-vous nommé un DPO (Data Protection Officer) ? C’est le pilote de la mise en conformité ! Cette personne peut être l’un de vos employés ou une personne externe. Attention le DPO doit posséder les compétences juridiques et techniques pour garantir la mise en conformité de votre entreprise. Il doit également avoir accès facilement à l’ensemble des données pour opérer en toute transparence.
  2. Avez-vous la liste des données personnelles traitées ? vous trouverez, ci-après, un modèle de registre à tenir.
  3. Comment garantissez-vous l’accès et la sécurisation des données personnelles de vos collaborateurs ? SIRH, hébergement des données, …
  4. Avez-vous informés vos collaborateurs et obtenu le consentement de ces derniers ?

Enfin, si vous vous apercevez que vous n’êtes pas en conformité avec la loi, mettez en place un correctif qui permettra de justifier que vous menez actuellement des actions pour vous conformer.

L’employeur doit également mettre en place une note d’information à destination des salariés pour les informer sur le droit d’accès, de modification, le traitement de leurs données, les destinataires de leurs données, etc. Rappelons que cette note doit être déjà en place depuis mai 2018 ! Retardaires, n’attendez plus !

N'hésitez pas à partager cet article ;-)