Blog

Protection des données personnelles : pourquoi adapter son SIRH avec le RGPD ?

Entré en vigueur le 20 juin 2018 le RGPD n’est pas encore applicable directement en Nouvelle-Calédonie. Une ordonnance attendue avant la fin de 2018  précisera les modalités de son application locale. S’y préparer est une nécessité, surtout quand il s’agit de RH. RGPD ? Kezako ? Plutôt difficile à lire le « RGPD » nomme le Règlement Général de l’Union européenne sur la Protection des Données. Il uniformise au niveau européen les normes relatives au traitement des données à caractère personnel par les entreprises privées et les institutions publiques. Le Règlement Général sur la Protection des Données ne s’applique pas seulement aux entreprises dans l’Union européenne, mais également hors UE, et bientôt  en Nouvelle-Calédonie. Les entreprises calédoniennes  devront respecter le RGPD si elles traitent les données personnelles d’individus et si ces activités de traitement sont liées à une offre de biens et de services ou au suivi du comportement de ces individus. Pourquoi les RH sont particulièrement concernées par le RGPD ? Dans le processus de sélection de candidat et de recrutement Pendant ce processus, l’employeur collecte des données devant uniquement servir à évaluer la capacité du ou des candidats à occuper le poste proposé. Comme vous le savez déjà, il est interdit de demander et de collecter des informations portant sur la famille, les opinions politiques, syndicales ou religieuses ou encore l’état de santé des candidats. Avant le 20 juin 2018, ces données devaient être stockées dans une base de données spécifique qui devait faire l’objet d’une déclaration auprès de la CNIL. Depuis le 20 juin 2018, cette obligation déclarative auprès de la CNIL est supprimée. Elle est remplacée par la tenue d’un registre interne des traitements de données à caractère personnel. A l’embauche L’employeur peut collecter des informations complémentaires, notamment celles utiles à la gestion administrative du personnel. Il est tenu de lister l’ensemble des données personnelles collectées ainsi que leurs traitements, leurs transferts, leur durée de stockage mais surtout de garantir la sécurité du stockage des données. Traitement des informations des candidats et employés Lors de la collecte des données, les candidats et les employés doivent recevoir différentes informations, notamment :
  • L’identité du responsable du traitement,
  • Les finalités du traitement des données,
  • Le caractère obligatoire ou facultatif des réponses,
  • Les conséquences en cas de non-réponse,
  • Les destinataires des informations,
  • Leurs droits d’opposition, d’accès et de rectification.
Pour répondre à la nouvelle réglementation, l’employeur doit revoir tous les documents comportant des données personnelles (contrat de travail entre autre). Ceux-ci devront comporter une clause les informant de leurs droits et les traitements qui seront apportés à leurs données personnelles. La mise à jour du Règlement Intérieur indiquant ces nouvelles mesures semble la solution pour ne plus avoir à reproduire les pièces existantes ! Sécurité et gestion des accès L’employeur devra mettre en œuvre des moyens de sécurité et notamment un dispositif de gestion des accès aux données personnelles. Pour ce faire, il utilisera notamment le registre des habilitations d’accès aux données personnelles et des procédures documentées de mise en sécurité des données, etc. Avec la nouvelle réglementation : l’accès à ces données devient encore plus limité. Conservation et Suppression des données Toutes les durées de conservation et les modalités de leur suppression doivent être définies et documentées par des procédures. Un principe domine : dès lors que l’employeur n’a plus besoin de certaines données, elles doivent être supprimées sans délai. Formations des collaborateurs L’employeur doit mettre en place un  plan de formation « Protection des données ». Un registre des personnes formées doit être disponible et peut être exigé par la CNIL en cas de contrôle. Lors de la rupture du contrat de travail Au départ d’un salarié, les documents émis ou reçus par une entreprise doivent être conservés pendant 5 ans (fiches de salaire, contrats de travail, lettres de notification du licenciement, reçu pour solde de tout compte, etc.). Impactant avant tout les fonctions DSI et RH, le RGPD doit s’inscrire dans une démarche globale. Il importe d’impliquer l’ensemble des acteurs de l’entreprise et de sensibiliser les salariés à cette démarche. Le Groupe Atout Plus s’organise déjà et vous proposera prochainement des formations sur ce thème.   Article rédigé par Stéphanie BELDJILALI, chef d’Agence,  à partir de sources diverses.