RGPD et données RH: quelles solutions pour se mettre en conformité?
Publié par La rédaction le - mis à jour à
L'entrée en application du RGPD a également des conséquences sur les données personnelles des salariés, qui sont collectées, traitées et stockées par les employeurs. Quelle gestion des données mettre en place pour être en conformité? Une récente conférence organisée par Nibelis apporte un éclairage.
Non, le RGPD ne concerne pas exclusivement les données personnelles de vos clients! Tout traitement de données personnelles, y compris à des fins de gestion des ressources humaines en entreprise, doit désormais se conformer au Règlement général sur la protection des données personnelles, qui entre pleinement en application le 25 mai prochain.
À lire aussi: [Tribune] Impact du RGPD sur les données personnelles des salariés: tous les employeurs sont concernés!
Une récente conférence organisée par Nibelis, éditeur de logiciel RH, a permis de faire le point sur les questions que soulève le RGPD pour les services RH, et sur les solutions que ces derniers peuvent mettre en place. En effet, les salariés, habitués à un certain confort, ont pour usage de solliciter leurs anciens employeurs afin de récupérer des documents administratifs, le plus souvent des bulletins de paie. Et pourtant, le RGPD ne laisse pas planer de doute quant aux obligations des services RH: "Il ne faut pas conserver les données ad vitam eternam: vous devez même les effacer 5 ans après le départ de vos salariés - soit un délai raisonnable pour se prémunir d'éventuels litiges", confirme Franklin Brousse, avocat spécialisé dans les achats innovants.
Mais "que dire à une employée qui a cumulé des dizaines années d'ancienneté et qui sollicite son historique de bulletins de paie?", s'interroge Caroline Bettini, HR Director du groupe Revue Fiduciare. La réponse de Franklin Brousse est sans équivoque: "Ces données ne vous appartiennent plus à partir du moment où vos salariés quittent l'entreprise. Vous devez les leur restituer et il est de votre devoir de les sensibiliser sur ce sujet. Un coffre-fort électronique est LA solution pour gérer ce type de problématique. Le délai de restitution des données aux salariés partis est fixé à un mois. Charge à l'employeur de solliciter ses sous-traitants pour récupérer ces données." En effet, avec le principe de coresponsabilité entre responsable du traitement et sous-traitant, le RGPD instaure un régime de responsabilité en cascade, donnant naissance à une chaîne de responsabilité: au-delà du responsable du traitement, la réglementation impose de vérifier la conformité de toutes les parties prenantes, quel que soit leur niveau de sous-traitance.
Pour aller plus loin sur le principe de coresponsabilité, lire l'article "Focus sur le principe de coresponsabilité entre le responsable de traitement et le sous-traitant"
[Retour d'expérience] Revue Fiduciaire: mise en place d'une plateforme collaborative et sensibilisation du personnel
"Les deux points clés sur lesquels nous nous concentrons sont l'éducation et la sensibilisation des salariés, avec l'appui de nos représentants du personnel. Nous regroupons une forte population de juristes, aussi le sujet est assez simple à aborder et les explications de notre DPO ont été bien comprises. Des réunions de préparation sur le RGPD sont indispensables pour mobiliser les représentants sociaux.
Ainsi, le groupe Revue Fiduciaire a mis à disposition de ses salariés une plateforme RH collaborative en cloud pour la gestion de leurs données personnelles: il nous a semblé plus simple de permettre à nos salariés d'accéder à leurs informations pour qu'ils puissent les modifier ou les actualiser par eux-mêmes.
Enfin, nous informons nos nouveaux embauchés que le CE va être amené à traiter leurs données personnelles et nous allons amender notre charte informatique pour y intégrer un paragraphe sur le RGPD. Je vais prêter plus attention à la finalité des traitements de données", conclut Caroline Bettini, HR Director du groupe Revue Fiduciaire.
>> Lire la suite en .