RGPD et données RH: quelles solutions pour se mettre en conformité?
L'entrée en application du RGPD a également des conséquences sur les données personnelles des salariés, qui sont collectées, traitées et stockées par les employeurs. Quelle gestion des données mettre en place pour être en conformité? Une récente conférence organisée par Nibelis apporte un éclairage.
Non, le RGPD ne concerne pas exclusivement les données personnelles de vos clients! Tout traitement de données personnelles, y compris à des fins de gestion des ressources humaines en entreprise, doit désormais se conformer au Règlement général sur la protection des données personnelles, qui entre pleinement en application le 25 mai prochain.
À lire aussi: [Tribune] Impact du RGPD sur les données personnelles des salariés: tous les employeurs sont concernés!
Une récente conférence organisée par Nibelis, éditeur de logiciel RH, a permis de faire le point sur les questions que soulève le RGPD pour les services RH, et sur les solutions que ces derniers peuvent mettre en place. En effet, les salariés, habitués à un certain confort, ont pour usage de solliciter leurs anciens employeurs afin de récupérer des documents administratifs, le plus souvent des bulletins de paie. Et pourtant, le RGPD ne laisse pas planer de doute quant aux obligations des services RH: "Il ne faut pas conserver les données ad vitam eternam: vous devez même les effacer 5 ans après le départ de vos salariés - soit un délai raisonnable pour se prémunir d'éventuels litiges", confirme Franklin Brousse, avocat spécialisé dans les achats innovants.
Mais "que dire à une employée qui a cumulé des dizaines années d'ancienneté et qui sollicite son historique de bulletins de paie?", s'interroge Caroline Bettini, HR Director du groupe Revue Fiduciare. La réponse de Franklin Brousse est sans équivoque: "Ces données ne vous appartiennent plus à partir du moment où vos salariés quittent l'entreprise. Vous devez les leur restituer et il est de votre devoir de les sensibiliser sur ce sujet. Un coffre-fort électronique est LA solution pour gérer ce type de problématique. Le délai de restitution des données aux salariés partis est fixé à un mois. Charge à l'employeur de solliciter ses sous-traitants pour récupérer ces données." En effet, avec le principe de coresponsabilité entre responsable du traitement et sous-traitant, le RGPD instaure un régime de responsabilité en cascade, donnant naissance à une chaîne de responsabilité: au-delà du responsable du traitement, la réglementation impose de vérifier la conformité de toutes les parties prenantes, quel que soit leur niveau de sous-traitance.
Pour aller plus loin sur le principe de coresponsabilité, lire l'article "Focus sur le principe de coresponsabilité entre le responsable de traitement et le sous-traitant"
[Retour d'expérience] Revue Fiduciaire: mise en place d'une plateforme collaborative et sensibilisation du personnel
"Les deux points clés sur lesquels nous nous concentrons sont l'éducation et la sensibilisation des salariés, avec l'appui de nos représentants du personnel. Nous regroupons une forte population de juristes, aussi le sujet est assez simple à aborder et les explications de notre DPO ont été bien comprises. Des réunions de préparation sur le RGPD sont indispensables pour mobiliser les représentants sociaux.
Ainsi, le groupe Revue Fiduciaire a mis à disposition de ses salariés une plateforme RH collaborative en cloud pour la gestion de leurs données personnelles: il nous a semblé plus simple de permettre à nos salariés d'accéder à leurs informations pour qu'ils puissent les modifier ou les actualiser par eux-mêmes.
Enfin, nous informons nos nouveaux embauchés que le CE va être amené à traiter leurs données personnelles et nous allons amender notre charte informatique pour y intégrer un paragraphe sur le RGPD. Je vais prêter plus attention à la finalité des traitements de données", conclut Caroline Bettini, HR Director du groupe Revue Fiduciaire.
>> Lire la suite en .
"Il ne faut pas conserver les données ad vitam eternam: vous devez même les effacer 5 ans après le départ de vos salariés. " Franklin Brousse
Ghislain Tuaz, directeur technique de Nibelis, complète le propos en évoquant le cas des bulletins de paie dématérialisés, édités uniquement au format électronique, pour lesquels les règles diffèrent(1): "Le coffre-fort électronique impose la conservation des données jusqu'aux 75 ans d'un salarié. L'entreprise est ainsi déchargée de ces problématiques, il ne lui reste plus qu'à s'assurer que les données ont bien été supprimées de ses serveurs lorsque le délai de conservation arrive à terme." Et de rappeler: "Si vos salariés ne sont pas équipés en matériel informatique, vous êtes tenu de leur remettre un dossier imprimé lors de leur départ. Dans un monde où la dématérialisation est devenue la norme, il devient complexe de gérer ce type de situation."
(1) Un décret n°2016-1762 du 16 décembre 2016 relatif à la dématérialisation des bulletins de paie et à leur accessibilité dans le cadre du compte personnel d'activité précise la durée pendant laquelle l'employeur doit garantir la disponibilité du bulletin de paie dématérialisé: le bulletin de paie doit être accessible soit pendant une durée de 50 ans, soit jusqu'à ce que le salarié ait atteint l'âge de 75 ans.
[Retour d'expérience] Nibelis: des avenants aux contrats des clients et la construction de référentiels
"Nous travaillons activement sur notre mise en conformité au RGPD, et tous nos clients recevront sous peu des avenants à leur contrat pour formaliser cette dernière. Nos enjeux sont forts: nous construisons des référentiels permettant une parfaite traçabilité des traitements des données personnelles de nos clients. Nous devons être en capacité de mener des audits pour prouver la suppression des données.
Face à ces bonnes pratiques, une entreprise peut viser l'obtention d'une certification de ses processus internes par la Cnil. Ainsi, la norme ISO/CEI 27018 concerne la protection des données à caractère personnel dans l'informatique en nuages, correspondant aux exigences du RGPD", détaille Ghislain Tuaz, directeur technique de Nibelis.
Sur le même thème
Voir tous les articles Normes