ADP

RH info : site d'actu et d'information sur les ressources humaines.

RSS

DRH : 5 actions pour vous préparer au RGPD

visuel_big_data.jpg

 

Le RGPD, ou Règlement général sur la protection des données, entrera en application le 25 mai 2018. De portée européenne, le RGPD a pour vocation de renforcer la protection des données personnelles en renforçant les droits des individus (droit d'accès, droit de rectification, droit à l'oubli) et en fixant de nouvelles obligations pour les entreprises : mise en place d'un registre des traitements des données personnelles, réponses aux sollicitations des individus, mesures de sécurité et de confidentialité des données, etc.

Beaucoup de départements au sein de l'entreprise sont amenés à traiter des données personnelles : service marketing et commercial pour des données sur les contacts prospects et clients, service achat pour les contacts de fournisseurs, services RH…  La mise en conformité avec le RGPD concerne par conséquent l'entreprise dans son ensemble.

Néanmoins, il faut bien admettre que par son activité, le service RH est concerné systématiquement et quel que soit le secteur concerné. En effet, depuis le recrutement d'un salarié jusqu'à son départ de l'entreprise, le service RH traite des données personnelles : paie mensuelle, entretien d'évaluation du collaborateur, parcours de formation, gestion administrative etc.

A quelques mois de l'entrée en application du RGDP, comment les services RH peuvent-ils se préparer ?

A la lecture du règlement, des recommandations de la CNIL et après échanges avec des juristes et des DRH, voici 5 recommandations d'actions pour aider votre service RH à se mettre en conformité avec le RGDP :

1. Mettre en place et tenir un registre des traitements RH

Il s'agit là d'une obligation incontournable qui consiste à créer et maintenir un registre de toutes les activités de traitement impliquant des données personnelles. Pour chaque traitement, le registre doit contenir la finalité du traitement, les catégories de données personnelles traitées, les acteurs qui traitent ces données …

Bien évidemment, il peut être utile de s'appuyer sur des compétences informatiques pour élaborer ce registre, et surtout  s'inspirer du modèle mis en place par la CNIL.

2. S'assurer que vos éventuels prestataires RH vous offrent toutes les garanties de conformité aux RGDP

Qu'il s'agisse d'un prestataire de paie, d'une solution de gestion des temps ou de gestion des talents, votre prestataire et/ou la solution qu'il vous propose respecte-t-il la sécurité et la confidentialité des données que vous leur confiez ? Sont-ils en mesure de les rectifier, les supprimer ou vous les restituer dans les délais ? Les données sont-elles transférées en dehors de l'Union européenne (UE), et si oui dans quelles conditions ?

Il est impératif de choisir un prestataire fiable et offrant les meilleures garanties en matière de protection et de confidentialité de vos données. Si vous faites appel à plusieurs prestataires RH, prenez le temps de vous renseigner sur les garanties offertes et sur le dispositif qu'ils ont mis en place pour être prêt au 25 mai 2018.

Chez ADP, nous avons déposé nos BCR auprès des autorités européennes de protection des données. Les BCR - pour Binding Corporate Rules ou règles internes d'entreprises - sont identifiées comme la référence en matière de confidentialité des données et sont reconnues dans le RGPD comme des mesures adéquates pour les transferts de données hors de l’UE.

3. Nettoyer vos archives papier et informatiques (et passer au digital !)

Le RGDP renforce la protection des données personnelles numériques et physiques !

C'est le moment opportun de nettoyer vos archives, les mails et les autres données personnelles qui existent dans votre entreprise au format physique ou informatique et qui n'auraient plus d'utilité : évaluations de vos collaborateurs, entretiens d'objectifs, dossiers de formations de vos salariés, feuilles de temps etc.

Dans ce domaine selon la CNIL, une règle impérative doit vous guider : « Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de conserver les données et elles doivent être supprimées. » A condition néanmoins de tenir compte des éventuelles obligations légales de conservation de certaines données.

Par ailleurs, vos archives papier peuvent prendre beaucoup de place. Il peut être parfois difficile d'y accéder, de les trier, de les restituer, les supprimer à la demande d'un salarié ou dès lors qu'elles n'ont plus d'utilité. Des solutions basées sur le Cloud couvrent désormais tous les processus RH depuis les traditionnels workflows administratifs ou de gestion des talents (pose de congés, demande d'attestations, entretiens, formation, etc.) jusqu'à des solutions d'archivage numérique et de signature électronique. Ces solutions facilitent non seulement votre gestion documentaire mais aussi la mise en application du RGPD.

4. Informer et former vos collaborateurs et managers

La transparence est essentielle dans le cadre du RGDP, d'où la nécessité d'informer clairement vos collaborateurs : quelles sont les données personnelles utilisées, dans quel but, et pendant combien de temps elles seront conservées ... ?

Autre point essentiel : faire évoluer certaines pratiques au sein de votre entreprise. Conserver sur son disque dur le CV d'un candidat oule compte rendu d'entretien d'un collaborateur par exemple sont des pratiques à bannir désormais. Il faut prendre le temps de comprendre les impacts du RGDP sur les pratiques RH internes et faire évoluer les manières de travailler de vos managers. La remise à plat de certaines pratiques et processus, ainsi que des ateliers de formation de vos managers ont toute leur utilité.

5.Répondre aux sollicitations des salariés en matière de droits d’accès, rectification des données et droit à l’oubli

Ces différents droits existaient avant le RGDP et seront renforcés à partir du 25 mai 2018. Par exemple, le RGPD raccourcit les délais de réponse à la sollicitation d'un salarié : l'entreprise dispose désormais de 1 mois (2 mois en cas de demandes complexes) pour y répondre. 

Plus vos salariés et vos experts RH seront autonomes pour accéder aux données, les modifier... plus vous gagnerez du temps. Les Portails self-service prennent alors tout leur sens ! Ils offrent en effet aux salariés une plus grande autonomie. Mettre à disposition des experts RH des outils de requêtes puissants et faciles d'utilisation est tout aussi essentiel.

Pour les demandes plus complexes - suppression de données - la sollicitation de votre prestataire RH sera parfois incontournable. C'est la garantie d'éviter une manipulation rapide ou irréfléchie qui pourrait s'avérer désastreuse. Evidemment, cette sollicitation peut prendre temps : formulation de la demande, suivi de la demande, récupération du certificat... Et ce temps sera multiplié si vous avez différents prestataires RH.

Privilégier un prestataire unique et organisé pour faire face à ce type de demande fera toute la différence.

Avant toute chose, ce projet ne doit pas être mené de façon isolée mais en lien avec le reste de l'entreprise. Certains sujets en effet concernent aussi la Direction des Systèmes d'Information, la direction financière. Quant à l'appui de votre service juridique, il est incontournable !

Bonne préparation !

Auteur

laetitia_ruppert.jpg

Responsable marketing chez ADP

De formation initiale littéraire, Laetitia est diplômé d’un Master 2 à l’IAE de Paris et du CESA Marketing...

laetitia_ruppert.jpg

Laetitia Rupert

Responsable marketing chez ADP De formation initiale littéraire, Laetitia est diplômé d’un Master 2...

Du même auteur