Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Profitons de cet anniversaire pour faire un 1er bilan de cette réglementation européenne et surtout, de vérifier que nos pratiques RH sont bien conformes.
Cette réglementation ne constitue pas une rupture avec les réglementations existant précédemment dans les Etats membres, mais elle se distingue toutefois par quelques points remarquables :
- Des sanctions sont prévues en cas de violation (elles peuvent s’élever jusqu’à 4% du chiffre d’affaires, ce qui pour certaines multinationales particulièrement exposées constitue beaucoup d’argent…)
- Le RGPD octroie de nouveaux droits aux citoyens :
- Droit à l’information
- Droit d’accès
- Droit de rectification
- Droit à l’oubli : effacement et déréférencement
- Droit à la limitation du traitement
- Droit à la portabilité des données
- Droit d’opposition
- Droit d’opposition dans le cadre du profilage
- Le RGPD s’applique directement dans tous les état membres (à la différence des directives qui doivent ensuite être traduite dans la législation de Etats membres).
Pour les entreprises, des obligations nouvelles sont également prévues. Les entreprises traitant un grand nombre de données personnelles, ou des données sensibles sont dans l’obligation de nommer un Data Protection Officer (DPO) et de mener des études d’incidence régulièrement.
Données sensibles : les données concernant l’origine ethnique ou prétendument raciale, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne, les données génétiques, les données biométriques, les données concernant la santé ou celles concernant la vie sexuelle ou l’orientation sexuelle d’une personne. La collecte et le traitement de ce type de données est soumis à des conditions très strictes.
Notons que le casier judiciaire tombe sous le même régime que les données sensibles. On ne peut collecter et traiter cette donnée que si une loi ou un règlement grand-ducal l’autorise.
Concrètement, cela signifie qu’en l’absence d’un texte spécifique prévoyant la vérification des casiers judiciaires des employés, l’employeur peut demander à un candidat ou à un employé de produire l’extrait de son casier judiciaire lors d’un entretien, par exemple afin de vérifier ses antécédents judiciaires.
Toutefois, dans ce cas, l’employeur ne peut pas en conserver une copie ni permettre que ces données fassent l’objet d’un traitement spécifique. La mention des vérifications des casiers effectuées dans le fichier de gestion du personnel sous la forme « oui/non » est suffisante.
Pour l’accès à certaines fonctions dites « sensibles », des textes peuvent prévoir la vérification, par l’employeur ou par certaines autorités délivrant des agréments (par exemple, pour les agents de sécurité ou les assistantes maternelles), des casiers judiciaires des employés.
Pour assurer sa conformité avec le RGPD, la 1ère étape est d’identifier les données à caractère personnel qui sont traitées au travers de toutes les activités de l’entreprise.
Pour commencer, il faut d’abord comprendre ce qu’est une donnée à caractère personnel. Il s’agit en fait de toute information permettant d’identifier directement ou indirectement une personne. Le nom et le prénom permette d’identifier directement une personne. Un numéro d’identification, une adresse ou bien un numéro de compte sont des identifiants indirects. Selon le contexte, des informations caractérisant une personne peuvent être considérées comme données à caractère personnel si elles permettent d’identifier précisément une personne par déduction. Par exemple, l’âge et le sexe peuvent permettre d’identifier précisément une personne dans une équipe restreinte, alors que ce ne sera pas le cas dans un groupe de plusieurs centaines de personnes.
Fondement du traitement de données personnelles
Pour être conforme au RGPD, le traitement de données personnelles doit être effectuée sur l’un de ces 6 fondements :
- Le consentement
- Le contrat
- L’obligation légale
- La mission d’intérêt public
- La sauvegarde des intérêts vitaux
- L’intérêt légitime
Pour les ressources humaines, ce sera souvent l’intérêt légitime qui fondera le traitement des données : C’est le cas pour les données traitées à des fins de gestion administrative. Il n’est dès lors pas nécessaire de demander le consentement des intéressés. Toutefois, il faut que l’intérêt légitime soit déterminé de façon claire et précise, et qu’il soit réel et présent. Pas question de collecter des données personnelles « au cas où on en aurait besoin ».
Inventaire
Il est dès lors clair que les Ressources Humaines traitent par nature un grand nombre de données personnelles. Il est donc nécessaire des répertorier les activités de traitement de manière exhaustive. Voici déjà quelques pistes :
- Recrutement
- Gestion administrative du personnel
- Gestion des rémunérations (payroll)
- Mise à disposition d’outils informatique ou de matériel
- Organisation du travail (planning, POT…)
- Suivi des carrières, évaluation, gestion de la performance
- Formation, gestion des compétences
Pour chaque activité, il faudra faire l’inventaire des données effectivement traitées dans chaque processus et identifier les destinataires de ces données, c’est-à-dire les organismes, entités ou prestataires qui interviennent dans la collecte et/ou le traitement des données.
Dans toutes les étapes du traitement des données, le principe de minimalisation doit être respecté : il s’agit de collecter uniquement les données nécessaires à l’usage requis. Pour commander des vêtements de travail, vous avez besoin de la taille, éventuellement de la pointure d’une personne, mais pas de son âge. De même lorsqu’on transmet des données à un prestataire, il ne doit recevoir QUE les données dont il a besoin pour prester son travail. Par exemple, si l’on organise un événement et qu’il faut transmettre une liste des participants aux responsables de leur accueil, il faudra expurger le fichier de toutes les informations dont l’accueil n’a pas besoin.
Lorsqu’on utilise des outils bureautiques, de marketing ou de gestion RH dans le cloud, il faut vérifier que les données stockées soient hébergées dans l’Espace européen. Le traitement de données hors UE n’est pas interdit mais il doit répondre à des conditions particulières.
Bonnes pratiques
Les données traitées peuvent être très différentes d’une entreprise à l’autre, mais les processus RH qui impliquent le traitement de données personnelles sont généralement les mêmes.
On peut donc dégager quelques bonnes pratiques « universelles » qui peuvent s’appliquer partout, telles que :
- Ne pas utiliser les noms et prénoms des personnes concernées dans les mails ou échanges d’information internes et externes (anonymiser autant que possible)
- Chiffrer (encrypter) les documents personnels transmis aux membres du personnel (fiche de salaire…)
- Bannir toute collecte de données personnelles non indispensable dans tous les processus RH, dès le recrutement.
- Mettre en place des registres des traitements de données, de demandes d’accès / rectification ou suppression des données, ainsi qu’un registre des incidents.
Cette liste est loin d’être exhaustive. L’inventaire des traitements de données doit être fait consciencieusement pour pouvoir mettre en place les mesures de protection adéquate. Pour vous y aider, vous pouvez commencer par vous tester en ligne avec l’auto-évaluation « Fit4Privacy » mis » en place par le National Cybersecurity Competence Center (nc3). Le test peut être réalisé en 15-20 minutes et vous donnera une idée précise de votre situation par rapport à la GDPR, des points à améliorer et des éventuelles défauts critiques.
Pour ceux qui recherchent un guide plus complet, la CNIL (autorité de contrôle française) a publié un référentiel RGPD spécifiquement dédié aux RH. Il s’agit d’une référence intéressante, mais elle doit être adaptée au contexte luxembourgeois. On nous a soufflé dans l’oreillette que la CNPD (Commission Nationale pour la Protection des Données) y travaille actuellement… A suivre donc.
Pour faire l’inventaire de vos process RH et vérifier leur conformité avec le RGPD, faites appel à VISTIM.