La souveraineté des données numériques appliquée aux RH

L’Europe souhaite reconquérir sa souveraineté numérique. Mais face à la puissance des GAFA, le combat est-il perdu d’avance ?

Pour faire prendre conscience aux utilisateurs de l’exploitation de leurs données personnelles offertes aux services marketing et commerciaux des GAFA via des «outils gratuits» (quand c’est gratuit, c’est vous le produit…), l’Europe a finement répliqué… par la voie législative.

En imposant aux responsables de traitement et aux sous-traitants d’être explicites sur la nature des données manipulées et le détail des traitements, le RGPD a eu un effet révélateur sur l’exploitation «non connue» des données personnelles, puis un effet d’encadrement de ces traitements. Dans certains cas, la conséquence a été le rapatriement de certains services en Europe, surtout après la révocation du privacy shield.

Voilà plus de deux ans que les entreprises se mettent en conformité avec le RGPD, un chantier aussi vaste que chronophage, surtout pour les services administratifs et RH qui collectent, traitent et archivent d’importants volumes de données personnelles.

Mais qu’il s’agisse des RH, du service marketing ou de tout autre département, le RGPD vise avant tout à protéger les citoyens de l’Union Européenne du vol ou du piratage de données, ainsi que des usurpations d’identité potentielles.

La tâche est ardue et le chemin pour y parvenir semé d’embûches tant les contours juridiques sont flous et sujets à interprétation. Il est pourtant indispensable de se conformer à ce règlement au vu du montant des pénalités encourues : jusqu'à 20 millions d'euros, ou jusqu'à 4 % du chiffre d'affaires annuel.

Selon une étude du cabinet d'avocats DLA Piper publiée en janvier 2020, plus de 114 millions d'euros d'amendes ont été infligés depuis la promulgation de la loi, et 160 000 plaintes pour violation de la législation européenne y sont recensées. La France figure d’ailleurs parmi les pays qui infligent les sanctions les plus lourdes avec 50 millions en une seule amende envoyée à Google.

En tant que DRH, vous utilisez des solutions dans lesquelles sont stockées les données personnelles des salariés. Le volume de ces données est particulièrement conséquent :

• CV,
• numéro de sécurité sociale,
• adresse,
• situation maritale,
• salaire,
• arrêts maladie, etc.

Par conséquent, il est absolument nécessaire d’auditer à la fois les méthodes de gestion, de conservation, de sécurisation et d’accès à ces données.

En effet, au cours de sa carrière dans l’entreprise, le salarié vous confie ses données personnelles, lesquelles sont nécessaires à la bonne gestion de sa “vie” administrative et de son développement professionnel. Toutes ces données stockées dans le SIRH impliquent un devoir de confidentialité et de sécurité, ainsi qu'un contrôle et des droits d’accès.

La collecte et l’archivage de données personnelles commencent d'ailleurs dès le recrutement : échanges d’informations avec les cabinets de chasse ou les agences de recrutement, saisie des informations dans le logiciel ATS (voire dans le CRM de l'entreprise), etc. Et ces données doivent pouvoir être supprimées sur simple demande de la personne ou à échéance (durée légale de conservation de deux ans si cette dernière a été informée).

Enfin, au-delà des processus, une attention particulière doit être portée au traitement des données dès lors que sont utilisés des outils de datavisualisation, de business intelligence, de reporting et d’analyse.

De nombreux logiciels proposent de personnaliser les bases de données. Donc rien ne vous empêche, en théorie, de stocker n’importe quel type de data, même celle dite sensible selon la définition du RGPD.

Mais rappelons-le, vos salariés ont des droits sur ces données. En tant que responsable de traitement, il vous incombe de leur permettre de les exercer :

• L’accès aux données : tout salarié qui en manifeste la demande a le droit d'obtenir du responsable du traitement… l'accès à ses données personnelles. C’est donc vous, en tant que responsable de traitement, qui accordez ou non cette possibilité à vos collaborateurs.
  
  
• Le droit de rectification : la personne concernée peut exiger, dans les meilleurs délais, la rectification des données à caractère personnel la concernant si elles sont inexactes.
  
  
• Le droit à l’oubli : tout collaborateur ayant quitté l’entreprise a le droit d'obtenir du responsable de traitement l'effacement, dans les meilleurs délais, de données à caractère personnel le concernant.

Les éditeurs de logiciels RH sont considérés comme des sous-traitants (le client étant responsable de traitement). À ce titre, ils doivent respecter les prérogatives du RGPD et vous en apporter la garantie.

Vous êtes à la recherche d’une solution parfaitement conforme ?

Pour vous assurer de la compliance d’un outil, vous êtes en droit d’exiger du fournisseur que :

• l’outil se limite à la collecte des données strictement utiles au fonctionnement du processus ;
• aucune donnée collectée ne le soit à d’autres fins que celles initialement convenues ;
• les fonctionnalités de paramétrage de l’outil donnent à l’administrateur les droits d’accès, de rectification ou d’effacement des données personnelles des salariés ;
• des mesures techniques et organisationnelles appropriées soient mises en œuvre afin de garantir un haut niveau de sécurité ;
• il s'assure des pratiques conformes RGPD des sous-traitants ultérieurs (les sous-traitants de l’éditeur de solutions RH).

1. Nommer un DPO (Data Protection Officer).
   
   
2. Se rapprocher de votre DPO (Data Protection Officer).
   Chargé de piloter la mise en conformité de l’organisation, il vous aidera à mettre en place un plan d’action pour vous aider à faire de même dans votre département RH.
   
   
3. Faire l'inventaire des traitements de données personnelles.
   Pour réaliser ce long et fastidieux travail, vous devez identifier les données personnelles et les processus RH dans lesquels elles sont utilisées pour quel objectif. Notez également de faire le point sur la durée de conservation légale des données. Enfin, identifiez les personnes ayant accès à ces données et les raisons pour lesquelles elles y ont accès.

Votre DPO doit vous fournir un registre des traitements dans lequel vous devez recenser l’ensemble des traitements analysés pour vos besoins métiers. Si vous en externalisez une partie, vérifiez que les sous-traitants adoptent des pratiques conformes au RGPD.