Le RGPD ou Règlement Général sur la Protection des Données, entrera en vigueur le 25 mai 2018. Ce règlement a pour but de renforcer la protection des données personnelles en fixant de nouvelles obligations pour les entreprises (droit à l’oubli, droit de rectification, registre du traitement des données, confidentialité…)
Toutes les entreprises, toutes les activités, et tous les départements au sein d’une organisation sont amenés à manipuler des données. Par conséquent, le RGPD concerne une majorité de métiers : marketing, commercial, achat, ressources humaines…
Dans cet article, nous allons découvrir comment adapter l’organisation de la gestion des ressources humaines dans le cadre de la mise en conformité du RGPD. Du recrutement d’un salarié jusqu’à son départ de l’entreprise, le service RH traite des données personnelles : paie mensuelle, entretien d’évaluation du collaborateur, parcours de formation, gestion administrative etc…
Il est nécessaire de prendre de l’avance afin de préparer les actions en rapport avec le périmètre d’action du RGPD. Voici nos conseils pour aider votre service RH dans cette démarche :
-
Tenir un registre de traitement des données
Il s’agit là d’une obligation incontournable qui consiste à créer et maintenir un registre de toutes les activités de traitement impliquant des données personnelles. Pour chaque traitement, le registre doit contenir la finalité du traitement, les catégories de données personnelles traitées, les acteurs qui traitent ces données…
Bien évidemment il peut être utile de s’appuyer sur des compétences informatiques pour élaborer ce registre, et surtout s’inspirer du modèle mis en place par la CNIL.
-
Vérifier la conformité de ses prestataires
Qu’il s’agisse d’un prestataire de paie, d’une solution de gestion des temps ou de gestion des talents, votre prestataire et / ou la solution qu’il vous propose respecte-t-il la sécurité et la confidentialité des données que vous leur confiez ? Sont-ils en mesure de les rectifier, les supprimer ou vous les restituer dans les délais ? Les données sont-elles transférées en dehors de l’Union Européenne, et si oui dans quelles conditions ?
Il est impératif de choisir un prestataire fiable et offrant les meilleures garanties en matière de protection et de confidentialité de vos données. Si vous recourez à plusieurs prestataires RH, prenez le temps de vous renseigner sur les garanties offertes et sur le dispositif qu’ils ont mis en place pour être prêt au 25 mai 2018.
-
Numériser ses données
Le RGPD renforce la protection des données personnelles numériques et physiques !
C’est le moment opportun de nettoyer vos archives, les e-mails et les autres données personnelles qui existent dans votre entreprise au format physique ou informatique et qui n’auraient plus d’utilité : évaluations de vos collaborateurs, entretiens d’objectifs, dossiers de formations de vos salariés, feuilles de temps…
Dans ce domaine selon la CNIL, une règle impérative doit vous guider : « Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de conserver les données et elles doivent être supprimées. » A condition néanmoins, de prendre en compte les éventuelles obligations légales de conservation de certaines données.
Par ailleurs, vos archives papier peuvent prendre beaucoup de place. Il peut être parfois difficile d’y accéder, les trier, de les restituer, les supprimer à la demande d’un salarié ou dès lors qu’elles n’ont plus d’utilité. Des solutions basées sur le Cloud couvrent désormais tous les processus RH depuis les traditionnels workflows administratifs ou de gestion des talents (pose de congés, demande d’attestations, entretiens, formation…) jusqu’à des solutions d’archivage numérique et de signature électronique. Ces solutions facilitent non seulement votre gestion documentaire mais aussi la mise en application du RGPD.
-
Informer et former ses collaborateurs
La transparence est essentielle dans le cadre du RGPD, d’où la nécessité d’informer clairement vos collaborateurs : quelles sont les données personnelles utilisées, dans quel but, et pendant combien de temps elles seront conservées ?
Autre point essentiel : faire évoluer certaines pratiques au sein de votre entreprise. Conserver sur son disque dur le CV d’un candidat ou le compte rendu d’entretien d’un collaborateur par exemple sont des pratiques à bannir désormais. Il faut prendre le temps de comprendre les retombées du RGPD sur les pratiques RH internes et faire évoluer les manières de travailler de vos managers. La remise à plat de certaines pratiques et processus, ainsi que des ateliers de formation de vos managers ont toute leur utilité.
-
Renforcer le suivi des demandes des individus
Ces différents droits existaient avant le RGPD et seront renforcés à partir du 25 mai 2018. Par exemple, le RGPD raccourcit les délais de réponse à la sollicitation d’un salarié : l’entreprise dispose désormais de 1 mois (2 mois en cas de demandes complexes) pour y répondre.
Plus vos salariés et vos experts RH seront autonomes pour accéder aux données, les modifier… plus vous gagnerez du temps. Les portails self-service prennent alors tout leur sens ! Ils offrent en effet aux salariés une plus grande autonomie. Mettre à disposition des experts RH des outils de requêtes puissants et faciles d’utilisation est tout aussi essentiel.
Pour les demandes plus complexes – suppression de données – la sollicitation de votre prestataire RH pourrait devenir incontournable. C’est la garantie d’éviter une manipulation rapide ou irréfléchie qui pourrait s’avérer désastreuse. Évidemment, cette sollicitation peut prendre du temps : formulation de la demande, suivi de la demande, récupération du certificat… Et ce temps sera multiplié si vous avez différents prestataires RH.
Privilégier un prestataire unique et organisé pour faire face à ce type de demande fera toute la différence.
Avant tout chose, ce projet ne doit pas être réalisé de façon isolée mais en lien avec le reste de l’entreprise. Certains sujets en effet concernent aussi la direction des systèmes d’information, la direction financière. Quant à l’appui de votre service juridique, il est incontournable !