D’ici le 25 Mai 2018, toutes les entreprises et organisations devront se mettre aux normes du RGPD, sur la collecte des données personnelles des visiteurs ou des clients. Mais qu’en est-il des données des collaborateurs au sein de l’entreprise ?
Le service RH des entreprises n’est pas épargné par la nouvelle réglementation. En effet, tout au long du cycle de vie RH du salarié (voir schéma ci-dessous), l’employeur collecte, traite et stocke un grand nombre de données à caractère personnel (recrutement, évaluation, rémunération, formation, protection sociale…).
Ainsi, afin de se conformer aux exigences de du RGPD, différentes mesures doivent être adoptées dans chaque entreprise et ce, tout au long du cycle de vie RH du salarié.
Lors du recrutement
Pendant le processus de recrutement, l’employeur collecte des données devant uniquement servir à évaluer la capacité du ou des candidats à occuper l’emploi proposé. Il lui est formellement interdit de demander et de collecter des données portant sur la famille, les opinions politiques, les appartenances religieuses ou encore la santé des candidats.
Une fois le recrutement et l’évaluation des candidats effectués, les données et informations recueillies doivent être stockées dans une base de données spécifique, et font l’objet d’une déclaration auprès de la CNIL qui veille à la bonne application de la réglementation.
Évolutions avec le RGPD : à partir du 25 mai 2018, cette obligation déclarative auprès de la CNIL sera supprimée et remplacée par la tenue d’un registre interne des traitements de données à caractère personnel.
Lors de l’embauche et du contrat de travail
Une fois l’embauche effectuée, l’employeur peut collecter des informations complémentaires notamment des informations utiles à la gestion administrative du personnel ou à l’organisation du travail.
L’employeur est tenu de lister l’ensemble des données personnelles collectées ainsi que les traitements, les transferts, la durée de stockage mais surtout de garantir la sécurité du stockage des données.
Traitement des informations des candidats et employés
Lors de la collecte des données, les candidats et les employés doivent recevoir différentes informations :
• L’identité du responsable du traitement
• Les finalités du traitement des données
• Le caractère obligatoire ou facultatif des réponses
• Les conséquences en cas de non-réponse
• Les destinataires des informations
• Leurs droits d’opposition, d’accès et de rectification
Évolutions avec le RGPD : pour répondre à la nouvelle réglementation, l’employeur devra revoir les clauses des documents de collecte de données personnelles (règlement intérieur, contrat de travail) afin d’informer les candidats et employés de leurs droits et des traitements qui seront apportés à leurs données.
Sécurité et gestion des accès
L’employeur devra mettre en œuvre des moyens de sécurité physique et numérique ainsi qu’un dispositif de gestion des accès aux données personnelles. A ce titre, il disposera de plusieurs outils : registre des habilitations d’accès aux données personnelles, procédures documentées de mise en sécurité des données, etc.
Évolutions avec le RGPD : l’accès à ces données devient limité. Les personnes pouvant accéder aux informations d’un candidat sont celles qui interviennent dans le processus de recrutement, ainsi que les administrations informées de l’embauche tel que l’assurance chômage, maladie, retraite, mutuelle….
[us_cta title= » Quizz GDPR : Etes vous prêt ? » btn_link= »url:/fr/quizz/quizz-gdpr?utm_source=blog-16904&utm_medium=web-blog||| » btn_label= »Faire le test » btn_size= »19px » btn_icon= »fa-question-circle » message= »Répondre » button_target= » »]
Suppression des données
L’entreprise doit impérativement définir les durées de conservation pour chaque type de données et définir les procédures de suppression de ces données. Dès lors que l’entreprise n’a plus besoin de certaines données, elles doivent être supprimées et ce sans délai.
Si une procédure de suppression automatique est prévue, le responsable du fichier doit s’assurer de la suppression effective des données.
Formations des collaborateurs
L’employeur devra mettre en place un plan de formation des employés à la thématique « Protection des données », en collaborant avec le délégué à la protection des données (DPO).
L’entreprise pourra également tenir un registre de suivi des formations suivies par employé et le présenter à l’autorité de contrôle (CNIL en France) si besoin.
Lors de la rupture du contrat de travail
Lors d’une rupture d’un contrat de travail ou du départ d’un salarié, les documents émis ou reçus par une entreprise doivent être conservés pendant une certaine durée :
• Bulletin de paie : 5 ans
• Contrats de travail ou avenants : 5 ans
• Lettre de notification du licenciement : 5 ans (à compter de la fin du contrat)
• Reçu pour solde de tout compte : 5 ans (à compter de l’expiration du contrat)
Impactant avant tout les fonctions DSI et RH des organisations, le RGPD doit s’inscrire dans une démarche globale. Il convient d’impliquer l’ensemble des acteurs de l’entreprise et de sensibiliser les salariés à cette démarche. Mais la mise en place du RGPD renforcera-t-elle la confiance des salariés envers les RH ?
[us_cta title= » LIVRE BLANC GDPR : comment se mettre en conformité » btn_link= »url:/fr/telechargement-de-livre-blanc-GDPR?utm_source=blog-16904&utm_medium=web-blog||| » btn_label= »Télécharger » btn_size= »19px » btn_icon= »fa-download » message= »Télécharger le livre blanc » button_target= » »]