3 mai 2023
– 8 min de lecture
Louis Allavena
Consultant Transformation Data
Depuis quelque temps, la question de la conformité interne prend une place indéniable dans les entreprises. En effet, même si le RGPD est un règlement datant de 2018, l’attention a été portée aux données clients, aux besoins des équipes marketing, data ou digital et fournisseurs, délaissant de fait les données RH des organisations.
Une conformité RGPD permet cependant d’améliorer l’image employeur de son entreprise (pour les employés mais aussi pour les candidats) au travers du respect de la confidentialité et de la gestion des risques sur la vie privée, par une politique de protection des données.
De plus, c’est un moyen d’améliorer la gestion des employés et de mettre à la disposition du DRH, des informations à jour, complètes et centralisées qui permettront d’améliorer la prise de décision et de planification des ressources humaines.
Enfin, c’est aussi un moyen d’éviter à l’entreprise des sanctions financières et des poursuites en cas de violation des données des employés, sans compter les conséquences sur la réputation de l’entreprise.
Cet article a pour but de donner quelques conseils aux équipes RH et aux consultants. J’ai procédé à un exercice de collecte d’informations qui, je l’espère, vous sera utile pour vous guider dans votre mise en conformité.
Cependant, je n’aborderai pas tous les sujets nécessaires pour se mettre complètement en conformité, mais uniquement les points récurrents qui me sont souvent demandés.
Les 3 points à respecter pour que votre RH soit conforme à la RGPD
La base légale des traitements des données
Chaque traitement de données personnelles doit respecter une base légale.
Parce qu’il n’est pas nécessaire de réinventer la roue et que la CNIL a fait un excellent travail de présentation des bases légales envisageables pour les activités de traitements spécifiques à la gestion des ressources humaines, je vous propose ce tableau :
| Activités de traitement | Finalités | Bases légales envisageables (sous réserve de choix différents justifiés par un contexte spécifique) |
| Recrutement | Traitement des candidatures (CV et lettre de motivation) et gestion des entretiens | Mesures précontractuelles |
| Constitution d’une CV-thèque | Intérêt légitime | |
| Gestion administrative du personnel | Gestion du dossier professionnel des employés, tenu conformément aux dispositions législatives et réglementaires, ainsi qu’aux dispositions statutaires, conventionnelles ou contractuelles qui régissent les intéressés. | Exécution du contrat |
| Réalisation d’états statistiques ou de listes d’employés pour répondre à des besoins de gestion administrative. | Intérêt légitime | |
| Gestion des annuaires internes et des organigrammes. | Intérêt légitime | |
| Gestion des dotations individuelles en fournitures, équipements, véhicules et cartes de paiement. | Intérêt légitime | |
| Gestion des élections professionnelles. | Obligation légale | |
| Organisation des réunions des instances représentatives du personnel. | Obligation légale | |
| Gestion des rémunérations et accomplissement des formalités administratives | Etablissement des rémunérations, mise à disposition des bulletins de salaire | Exécution du contrat |
| Déclaration sociale nominative. | Obligation légale | |
| Mise à disposition des personnels d’outils informatiques | Suivi et maintenance du parc informatique. | Intérêt légitime |
| Gestion des annuaires informatiques permettant de définir les autorisations d’accès aux applications et aux réseaux. | Intérêt légitime | |
| Mise en œuvre de dispositifs destinés à assurer la sécurité et le bon fonctionnement des applications informatiques et des réseaux. | Intérêt légitime | |
| Gestion de la messagerie électronique professionnelle. | Intérêt légitime | |
| Réseaux privés virtuels internes à l’organisme permettant la diffusion ou la collecte de données de gestion administrative des personnels (intranet). | Intérêt légitime | |
| Organisation du travail | Gestion des agendas et projets professionnels. | Intérêt légitime |
| Suivi des carrières et de la mobilité | Évaluation professionnelle des personnels, dans le respect des dispositions législatives, réglementaires ou conventionnelles qui la régissent. | Intérêt légitime |
| Gestion des compétences professionnelles internes. | Intérêt légitime | |
| Gestion prévisionnelle de l’emploi et des compétences (GPEC) | Intérêt légitime | |
| Gestion de la mobilité professionnelle. | Exécution du contrat | |
| Formation | Gestion des demandes de formation et des périodes de formation effectuées. | Exécution du contrat |
| Organisation des sessions de formation et évaluation des connaissances et des formations. | Intérêt légitime | |
| Gestion des aides sociales | Gestion de l’action sociale et culturelle directement mise en œuvre par l’employeur, à l’exclusion des activités de médecine du travail, de service social ou de soutien psychologique. | Intérêt légitime |
La durée de conservation des données RH
Les données personnelles ne pouvant pas être conservées à vie, il est nécessaire de mettre en place des purges automatisées ou non (selon la taille de vos espaces de stockage, il est parfois indispensable de passer par une purge automatisée).
Les durées de conservations sont généralement à définir par le métier, selon son besoin (la personne utilisant la donnée ou la collectant) ; dans votre cas : le DRH ou le responsable administratif en collaboration avec votre DPO ou le référent RGPD de votre organisation. Cependant, certains documents doivent respecter des durées légales de conservation déjà prévues par le droit.
Le tableau ci-dessous vous permet d’avoir une liste (non exhaustive) des documents les plus souvent demandés/collectés en interne :
| Activités de traitement | Détails du traitement | Base active | Archivage intermédiaire | Textes de référence |
| Gestion de la paie | Bulletin de salaire | 1 mois | 5 ans | L. 3243-4 du code du travail |
| Bulletin de salaire | 1 mois | 50 ans (en version dématérialisée) | D. 3243-8 du code du travail | |
| Eléments nécessaires au calcul de l’assiette | 1 mois | 6 ans | L. 243-16 du code sécurité sociale | |
| Saisie des données calculées (DSN) | Le temps nécessaire à l’accomplissement de la déclaration | 6 ans | L. 243-16 du code sécurité sociale | |
| Ordre de virement pour paiement | Le temps nécessaire à l’émission du bulletin de paie | 10 ans à compter de la clôture de l’exercice comptable | L. 123-22 du code du commerce | |
| Registre unique du personnel | Ordre de virement pour paiement | La durée pendant laquelle le salarié fait partie des effectifs | 5 ans à compter du départ du salarié de l’organisme | R. 1221-26 du code du travail |
| Gestion des mandats des représentants du personnel | Nature du mandat et syndicat d’appartenance | 6 mois après la fin du mandat | 6 ans (prescription pénale pour délit) | L. 2411-5 du code du travail |
| Les données relatives aux sujétions particulières ouvrant droit à congés spéciaux ou à crédit d’heures de délégation (ex: exercice d’un mandat électif ou représentatif syndical) | Le temps de la période de sujétion de l’employé concerné | 6 ans (prescription pénale pour délit) | L. 2142-1-3 du code du travail |
La gestion des droits des personnes (candidats et employés)
La gestion des droits des personnes est une obligation sur toutes les données personnelles, il faut donc prendre en compte le processus de réponse à ces demandes. Les droits sont : le droit d’accès (avoir une copie des données personnelles), le droit de suppression (demander la suppression de tout ou partie de ses données personnelles), le droit de modification (demander la modification de ses données personnelles en cas d’erreur), le droit de portabilité (demander une copie sous format lisible par une machine (ex. : csv) de ses données personnelles), le droit de limitation (demander la non utilisation de ses données personnelles pour un traitement spécifique).
Des règles simples sont à respecter :
- La réponse à une demande doit se faire au maximum 30 jours après la réception de celle-ci. Il peut y avoir une exception si la demande est complexe (si on vous demande une copie de la totalité des données personnelles que vous avez en votre possession), dans ce cas le délai monte à 3 mois, mais il faudra prévenir la personne que la durée est augmentée de 23 mois, un mois maximum à partir de la réception de la demande.
- La confirmation de l’identité du demandeur est nécessaire afin d’éviter d’envoyer/modifier/supprimer les données d’une une tierce personne. Si ça arrive, il s’agit alors d’une fuite de donnée qui doit être notifiée auprès de la CNIL. La confirmation est nécessaire seulement en cas de doute sur l’identité de la personne, elle n’est donc pas obligatoire. Enfin, une fois l’identité de la personne confirmée, la preuve doit être supprimée.
- La réponse doit être sous le format de la demande, c’est-à-dire qu’une demande par courrier doit avoir une réponse par voie postale, et une demande par mail, par mail.
- Il est possible de refuser une demande si celle-ci n’est pas fondée ou paraît excessive, ou encore si les données de la personne concernée ont été effacées. Ou enfin, s’il est demandé de supprimer des documents légaux ou devant être conservés obligatoirement (ex. : fiche de paie, contrat, …).
Mettre en place la conformité RGPD de vos Ressources Humaines
Pour bien commencer, il est important d’avoir une équipe dédiée à la conformité, en complément du DPO et du DRH qui sont indispensables. Cette équipe devra être formée et aura des rôles précis. Cette formation peut se faire directement par le MOOC de la CNIL, régulièrement mis à jour, qui est complet et qui donne de très bonnes bases (testé et approuvé par mon équipe).
En interne, il est indispensable de pouvoir sensibiliser les collaborateurs sur leurs droits (droits des personnes, bases légales, limitations, …), mais aussi leurs devoirs vis-à-vis des données personnelles qu’ils traitent (sécurité des postes de travail, sécurité des documents, politique de mot de passe, …).
Enfin et afin de pouvoir être totalement conforme, il est nécessaire de créer un registre de traitement, de faire une revue des process de gestion des droits des personnes, d’analyser les applications internes, les contrats de sous-traitance et les mesures de sécurité de la DSI. Il est également nécessaire de s’assurer du bon fonctionnement des purges et archivages ou encore de mettre en place des analyses d’impacts sur la vie privée et des audits.
Les autres articles qui vont vous intéresser
8 janvier 2024
Transformation Data
Open Data en France – PARTIE 1 : contexte légal et pratiques actuelles
18 octobre 2023
Transformation Data
