Votre Direction des Ressources Humaines est-elle en conformité avec le RGPD ?
Le règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, est venu imposer un certain nombre de nouvelles règles aux entreprises manipulant des données personnelles. Celles liées aux salariés sont de fait concernées. Zoom ce sur que vous devez désormais mettre en place au sein de la DRH pour être en conformité avec le RGPD.
Le consentement de vos salariés au recueil de leurs données personnelles
Il a toujours pesé sur les RH l’obligation d’obtenir le consentement des candidats à un emploi ou des salariés au recueil de leurs données personnelles. Cependant, depuis que le RGPD est en application, ce consentement doit être désormais « précis, éclairé et sans ambiguïté ». En outre, la notion de données personnelles a été revue et englobe maintenant les informations sur les numéros de téléphone, les coordonnées bancaires ou encore les adresses IP utilisées. Attention, ces données ne peuvent être recueillies qu’à la condition expresse qu’elles soient nécessaires à l’exécution de la mission de la direction des ressources humaines. Cette disposition implique que les personnels de la DRH doivent pouvoir expliquer à tout moment à la Cnil pourquoi ils ont collecté les données, comment elles sont stockées, et si elles sont bien utilisées conformément à l’usage pour lesquelles elles ont été recueillies.
De son côté, le salarié possède désormais le droit de solliciter l’accès à ses données personnelles détenues par l’entreprise. Cette dernière doit ensuite répondre dans les 30 jours. Idem, les candidats à un poste ont le droit de demander la suppression de leurs données personnelles. En conséquence, les membres de la DRH doivent tenir à jour le registre de traitement des données. Rappelons que la charge de la preuve incombe à l’entreprise en cas de contrôle sur la conformité de l’entreprise, elle ne pèse en aucun cas sur le candidat ou sur le salarié.
L'information des salariés en cas d’incident lié aux données personnelles
Le principe de responsabilisation introduit par le RGPD impose aux entreprises de signaler aux salariés concernés tout incident intervenu sur leurs données personnelles (vol par exemple) dans les 72 heures. La DRH doit également tout mettre en œuvre pour détecter les incidents et pour les signaler dans les délais réglementaires.
L'accès aux données de la DRH
Pour être en conformité avec le RGPD, l’entreprise doit limiter l’accès aux données personnelles des salariés et des candidats à un emploi aux personnes expressément déterminées. Ainsi, la DRH se doit de mettre en œuvre une sécurisation maximale de cet accès, avec par exemple, des mots de passe à plusieurs niveaux de sécurité.
La suppression des données personnelles
Le RGPD interdit la conservation perpétuelle des données personnelles et les entreprises doivent avancer un motif raisonnable et justifiable pour les stocker. Pour pouvoir tout de même garder des informations sur les candidats qui n’ont pas été retenus sur un poste, la DRH a tout intérêt à solliciter par écrit leur consentement en arguant, par exemple, de la possibilité d’une embauche ultérieure, pour rester en conformité avec le RGPD.
Attention à la conformité avec les sous-traitants et outils extérieurs
DRH est responsable du traitement des données, même si elle le délègue à des tiers ou qu’elle utilise des logiciels et des sites Internet extérieurs à l’entreprise. C’est pourquoi il lui faut s’assurer que tous les outils dont elle se sert soient effectivement en conformité avec le RGPD, sous risque de voir sa responsabilité engagée en cas de contrôle de la Cnil.