RGPD RH

Société

RGPD et RH : quel impact pour l'employeur et les salariés ?

Publié il y a 2 ans
RGPD et RH : quels sont les impacts pour les employeurs, et quels sont-ils pour les salariés ?
RH

Société

RGPD et RH : quel impact pour l'employeur et les salariés ?

Publié il y a 2 ans

Les points principaux

RGPD RH Côté employeur Côté salarié
RGPD et RH : quels sont les impacts pour les employeurs, et quels sont-ils pour les salariés ?

« Les traitements des données RH sont significativement impactés par le RGPD ».

Protéger les données personnelles de vos collaborateurs sur leur lieu et pendant leur temps de travail, est un moyen de renforcer le lien de confiance nécessaire au bon fonctionnement de votre entreprise. Le développement de l’utilisation des nouvelles technologies au travail peut faire craindre une surveillance systématique. La transparence sera alors le meilleur moyen de s’en prémunir.

RGPD et RH, côté employeurs

En tant qu’employeur, vous détenez un grand nombre de données sur vos collaborateurs, notamment pour gérer leur carrière au sein de votre entreprise. C’est pourquoi vous devez assurer la confidentialité et la sécurité de leurs données.

C’est notamment le cas pour :

  • La rémunération (coordonnées bancaires)
  • Les déclarations sociales obligatoires (numéro de sécurité social)
  • le registre du personnel
  • La gestion administrative du personnel

Vous ne devez traiter que des informations utiles et nécessaires à leurs missions et évitez de collecter des données se rapportant à leur activité syndicale, opinions politiques, religion, origine ethnique, santé ; ce sont alors des données sensibles soumises à encadrement particulier et soumises à des obligations particulières.

Puis, seules les personnes habilitées doivent prendre connaissance de ces données personnelles.

Ensuite, chaque fois que vous collectez ou traitez des informations sur vos employés, vous devez les informer (mise à jour de dossier, demande de formation...).

Enfin, un employé peut toujours demander un accès à ses données (bulletin de salaires, relevés de badgeuse, mails professionnels..) et ce même s’il ne fait plus partie de l’entreprise ou en cas de litige.

Lorsque vous recrutez un nouveau collaborateur, vous ne devez collecter que les informations utiles au regard du poste à pourvoir.

Il est, par exemple, inutile au stade du recrutement de collecter le numéro de sécurité social (ou faire figurer ce numéro sur les fiches de paie par la suite) !

Les candidats doivent être informés de ce que vous allez faire de leurs données (finalité, destinataires des données, durée de conservation...). Ils ont un droit d’accès, de rectification et de suppression sur leurs données.

Une fois le candidat choisi, vous pouvez alors supprimer les informations collectées sur les autres candidats ou bien les conserver pour une durée maximum de 2 ans avec leur consentement.

Contrôler l’activité de vos collaborateurs est facilité par les nouvelles technologies. Toutefois, vous ne pouvez pas abuser de votre pouvoir. Il n’est donc pas permis de les surveiller en permanence sous prétexte de la sécurisation d’un local. Lorsque vous utilisez un outil de géolocalisation, il ne doit pas poursuivre une autre finalité que celles autorisées par le référentiel de la CNIL (éviter d'utiliser cela dans le cadre de la finalité de suivi et contrôle du temps de travail si un autre moyen est possible par exemple.)

De plus, il est nécessaire d’être transparent avec les employés.

Sensibiliser les employés

Tous vos employés doivent être sensibilisés à la protection des données personnelles. Ils sont concernés en tant que professionnels, en relation avec vos clients, vos fournisseurs, vos prestataires, et en tant que citoyens.

À ce titre, vous pouvez diffuser votre Charte informatique ou bien communiquer le plus largement possible sur les règles élémentaires de sécurité, les règles internes de gestion des données personnelles, sur les droits des personnes.

RGPD et RH : l'impact sur les salariés

Toute personne peut demander à un organisme la communication des données qu’il détient sur elle et en obtenir une copie. Un salarié peut ainsi demander à son employeur l’accès et la communication des données personnelles qu’il a en sa possession.

Ainsi, tout salarié ou ancien salarié a le droit d’accéder aux données de son dossier professionnel en s’adressant au service concerné qui peut être, selon les cas, le service chargé de la gestion des ressources humaines ou encore le délégué à la protection des données (DPO).

Généralement, le salarié exerce son droit d’accès auprès de son employeur, c’est-à-dire qu’il va par le biais de cette demande contrôler l'exactitude des données et, au besoin, les faire rectifier ou effacer. Le salarié n’a pas à motiver sa demande.

L’employeur doit donc être en mesure de donner des informations sur les objectifs poursuivis par l’utilisation des données, les catégories de données traitées, les durées de conservation,...

De son côté, le salarié va pouvoir accéder aux données relatives à son recrutement, son historique de carrière, l’évaluation de ses compétences professionnelles (entretiens annuels d’évaluation, notation), ses demandes de formation, son dossier disciplinaires, données issues d’un dispositif de géolocalisation, ....

L’employeur doit faciliter l’exercice des droits des salariés. Il peut aussi inviter le salarié à lui fournir davantage d’informations afin de pouvoir lui répondre.

Une copie des données est délivrée au salarié à sa demande sans qu’aucun coût ne puisse lui être exigé, sauf si les demandes sont manifestement infondées ou excessives (exemple : demandes répétitives).

L’employeur doit répondre à la demande dans les meilleurs délais sans dépasser un délai d’un mois à compter de la réception de la demande.

Si l’employeur ne donne pas suite à la demande d’accès, le salarié devra être informé des motifs le justifiant, ainsi que de la possibilité d’introduire une réclamation auprès de la CNIL et de former un recours juridictionnel.

Dans certaines situations, le droit d’accès peut également faire l’objet de certaines restrictions, par exemple si les données sont protégées par le secret des affaires, la propriété intellectuelle ou encore par le secret des correspondances.

Afin d’aider les personnes à exercer leurs droits, la CNIL propose des modèles de courrier.

  • Dans le cadre de l’accès aux locaux et du contrôle des horaires l’employeur peut utiliser des outils collectant ou traitant les données de ses salariés, mais dans la limite des droits et libertés de chacun. Les instances représentatives du personnel doivent être informées ou consultées avant et l’information sur la collecte peut se faire au moyen d’un avenant au contrat de travail ou d’une note de service, par exemple.

Il faut rappeler que l’accès au logiciel de gestion du contrôle d’accès ou des horaires doit être limité aux personnes qui ont besoin d’en connaître et se faire avec un identifiant et un mot de passe.

  • Dans le cadre du recrutement et la gestion du personnel, de nombreuses informations sont collectées à l’aide d’outils informatiques pour lesquels l’employeur fixera une limite dans leurs utilisations. Les différents systèmes de contrôle des outils informatiques doivent être inscrits au registre des activités de traitement tenu par l’employeur.

Enfin, Si un Délégué à la protection des données (DPO)a été désigné, il doit être associé à la mise en œuvre des dispositifs de contrôle dans l’entreprise.

Le respect du RGPD est bien trop souvent mis de côté par les structures qui se concentrent sur les traitements de données réalisés dans le cadre de leur activité principale...sauf que le risque juridique découlant du non-respect du RGPD en RH est parfois plus important, et le risque pour les personnes concernées également (suivi et contrôle des activités, enregistrements, vidéosurveillance, géolocalisation, profilage etc ...) ! Un manquement au RGPD RH sera facilement utilisable dans le cadre d'un litige devant les prud'hommes. Et même si les DPO détestent cette instrumentalisation du RGPD, les personnes concernées (en l'occurrence les salariés) auraient tort de ne pas s'en servir.

Si vous souhaitez vous faire accompagner dans votre conformité au RGPD, étudier les meilleures solutions possibles concernant la protection des données de vos salariés...Contactez-nous !

Du même thème

interview Adequacy
Société

Interview Céline Petit - Data need Advice par Adequacy

Lire
voeux 2024
Société

Les voeux de DNA pour 2024 ?

Lire
Cookies tiers Google
Société

La fin des cookies tiers annoncée par Google serait-elle une opportunité webmarketing ?

Lire
Voir d'autres publications
Nous utilisons
des cookies.

Il s'agit de petits fichiers déposés sur votre machine pour un temps défini (et pas plus). Certains sont techniquement nécessaires, les autres sont utiles au bon fonctionnement de notre site ("statistiques").

En savoir plus

Ce site web,
comme la plupart,
utilise des cookies.

Vous pouvez les accepter ou vous y opposer, à vous de voir. Mais laissez-nous vous expliquer le pourquoi du comment, afin d'éclairer votre choix :

Sur internet, la collecte et le traitement des données sont omniprésents, et peuvent résulter d'une simple navigation sur un site web.....grâce à ces petites choses que l'on appelle les "Cookies". Il s'agit de petits fichiers déposés sur votre machine pour un temps défini (et pas plus), permettant de conserver des données relatives à votre navigation.
Comme notre site n'échappe pas à la règle, nous utilisons des Cookies.
Certains sont techniquements nécessaires. D'autres sont des outils pour analyser notre trafic (en prenant soin de ne pas vous identifier), utiles au bon fonctionnement de notre site et à sa sécurité. Vous pouvez accepter ou vous opposer à leur dépôt.

Les cookies nécessaires

Les cookies nécessaires contribuent à rendre un site Web utilisable en activant des fonctions de base comme la navigation de page et l'accès aux zones sécurisées du site Web. Le site Web ne peut pas fonctionner correctement sans ces cookies. C'est la raison pour laquelle votre consentement n'est pas requis.

Nom Fournisseur Expiration Type
dna_consent DNA 13 mois HTML
Stocke l'autorisation d'utilisation de cookies pour le domaine actuel par l'utilisateur.
dna_type DNA 10 minutes HTML
Ce cookie est utilisé pour distinguer les humains des robots.
dna_contact DNA 10 minutes JSON
Ce cookie est utilisé pour préremplir le formulaire de la page contact en fonction des actions de l'utilisateur.
SERVERID OVH Session HTML
Un cookie technique utilisé par notre hébergeur pour faire de la répartition de charge serveur.

Les cookies comme outils pour nos statistiques

Ces traceurs de mesure d'audience ont pour seul but l'élaboration de statistiques de fréquentation et de performance dans un souci de bon fonctionnement et d'amélioration de notre Site. Nous sommes les seuls à les utiliser, ils ne nous permettent pas un suivi global de votre navigation, et les statistiques émises sont strictement anonymes (réalisées par le biais de Matomo). Votre consentement n'est pas requis, mais vous pouvez vous opposer à leur utilisation en décochant la case correspondante. Cette opposition n'aura aucune incidence technique sur votre navigation.

Nom Fournisseur Expiration Type
_pk.id DNA - MATOMO 13 mois html
Utilisé pour stocker quelques détails à propos de l'utilisateur tel que son identifiant unique.
_pk.ses DNA - MATOMO 30 minutes HTML
Cookie à courte vie utilisé pour stocker temporaire des données sur la visite.
mtm_cookie_consent DNA - MATOMO 12 mois HTML
Est créé pour se souvenir du consementement de l'utilisateur pour stocker et utiliser des cookies statistiques.