En tant que responsable des ressources humaines, la protection des données personnelles de vos employés est l’une de vos principales responsabilités conformément au Règlement Général sur la Protection des Données (RGPD) . Ce rgpd rh transforme en profondeur la gestion du personnel en imposant des règles strictes sur la collecte, le traitement et la confidentialité des données à caractère personnel ^[1].

Vous devez informer les salariés sur la finalité du traitement de leurs données, les destinataires impliqués, la durée de conservation et leurs droits d’accès, de rectification et d’effacement . De plus, le rgpd rh exige une sécurisation optimale des données et la notification de toute fuite à la CNIL, sous peine de lourdes sanctions financières ^[1]. Ce guide complet vous aidera à comprendre et appliquer les principes du RGPD dans la gestion des ressources humaines, du recrutement au contrat de travail.

Qu’est-ce qu’une donnée à caractère personnel ?

Une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable. Vous pouvez identifier une personne physique :

Identification directe

• Directement, par exemple par son nom et prénom.

Identification indirecte

• Indirectement, par un numéro de téléphone, une plaque d’immatriculation, un identifiant comme le numéro de sécurité sociale, une adresse postale ou email, mais aussi la voix ou l’image.

L’identification peut se faire :

1. À partir d’une seule donnée (exemple : nom) .
2. À partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour et membre d’une association) .

Cependant, les coordonnées d’entreprises comme le nom, l’adresse postale, le numéro de téléphone standard et l’email générique ne sont généralement pas considérées comme des données personnelles .

Peu importe que ces informations soient confidentielles ou publiques, si elles permettent d’identifier une personne physique, elles sont considérées comme des données à caractère personnel . Pour ne plus être qualifiées de personnelles, ces données doivent être rendues totalement anonymes, avec noms masqués, visages floutés, etc. de manière à rendre impossible toute identification .

Attention, si par recoupement d’informations (âge, sexe, ville, diplôme, etc.) ou par des moyens techniques, il est possible d’identifier une personne, alors les données sont toujours considérées comme personnelles.

Pourquoi collectons-nous vos données personnelles ?

En effet, l’utilisation des données personnelles sans l’accord des employés ou des candidats à la recherche d’un emploi reviendrait à les déposséder du droit à disposer de leurs données, à protéger leurs vies privées, tout en les exposant à des risques d’abus . Or, dès qu’un candidat postule à une offre d’emploi, le département RH recueille, stocke et utilise des données personnelles . Plus tard, une fois le candidat recruté, d’autres informations sont ajoutées au dossier RH de l’employé .

Conformité réglementaire : RGPD RH

C’est pourquoi le RGPD oblige désormais les responsables RH à veiller à la protection des données « se rapportant à une personne physique identifiée ou identifiable » . Afin de maintenir l’entreprise en conformité avec ses obligations réglementaires, et ainsi la protéger contre d’éventuelles sanctions financières, les responsables des Richesses Humaines (RH) sont tenus d’apporter aux salariés certaines informations .

Limiter les risques d’abus

Les candidats ainsi que les employés doivent être assurés que leurs données ne seront ni utilisées en dehors de la gestion des carrières, ni partagées avec des utilisateurs extérieurs à l’entreprise . À cette fin, les responsables des ressources humaines doivent mettre en place des dispositifs conférant à certains responsables des accès limités aux dossiers des employés .

Droits des employés

Le RGPD garantit à chaque candidat et collaborateur le droit de consulter ses données personnelles, de les rectifier ou de les supprimer. Le service RH doit faire en sorte que « toutes » les données soient facilement accessibles pour répondre rapidement aux demandes de consultation des collaborateurs ^[2].

Le RGPD impose également aux responsables RH la mise en place de procédures facilitant la consultation des données personnelles par les personnes auxquelles elles se rapportent .

Quelles données collectons-nous ?

De très nombreuses données personnelles relatives à vos employés sont nécessaires pour la gestion de leur carrière au sein de votre entreprise . Par exemple, vous avez besoin de beaucoup d’informations pour assurer :

Rémunération et déclarations sociales

• La rémunération et les déclarations sociales obligatoires .

Registre unique du personnel

• La tenue du registre unique du personnel.

Gestion administrative

• La gestion administrative du personnel (exemple : type de permis de conduire détenu ou coordonnées de personnes à prévenir en cas d’urgence) .

Organisation du travail

• L’organisation du travail (exemple : photographie facultative de l’employé pour les annuaires internes et organigrammes).

Action sociale

• L’action sociale prise en charge par l’employeur (exemple : les informations concernant les ayants-droit de l’employé) .

Ne demandez à vos employés que les informations utiles pour accomplir leurs missions, et évitez de traiter des données dites « sensibles » (activité syndicale, opinions politiques, religion, origine ethnique, santé). Si vous devez en traiter, des obligations particulières sont applicables .

Vous disposez forcément d’informations particulières (et donc à risque) sur vos employés (coordonnées bancaires pour la paie, numéro de sécurité sociale pour les déclarations sociales, etc.). Assurez-vous d’en garantir la confidentialité et la sécurité. Ainsi, seules les personnes habilitées doivent en prendre connaissance. Les actions sur les données effectuées par les personnes habilitées doivent être enregistrées (savoir qui se connecte à quoi, quand et pour faire quoi) .

Informez vos collaborateurs à chaque fois que vous leur demandez des informations (exemple : mise à jour des données administratives, demande de formation, formulaire d’entretien d’évaluation, etc.).

Lors du recrutement

Lorsque vous recrutez un nouveau collaborateur, vous ne pouvez pas demander tout et n’importe quoi aux candidats. Seules les informations utiles au regard du poste à pourvoir peuvent être collectées .

Exemple : des informations sur l’emploi occupé par les membres de sa famille n’ont pas de lien avec les compétences du candidat à occuper l’emploi proposé. Il est par ailleurs inutile, à ce stade, de demander aux candidats leur numéro de sécurité sociale .

Informez les candidats sur ce que vous allez faire des données qu’ils vous communiquent, qui va y avoir accès (service RH, un prestataire ?), combien de temps vous allez les conserver, comment ils peuvent exercer leurs droits sur leurs données .

Une fois le choix de votre nouvel employé effectué, supprimez les informations sur les candidats non retenus, sauf s’ils acceptent de rester dans votre « vivier » pour une durée limitée (2 ans) .

Quels sont les destinataires de vos données et leur localisation ?

Voici le contenu pour la section « Quels sont les destinataires de vos données et leur localisation ? » en français, intégrant les sous-sections indiquées et en utilisant les points clés factuels fournis :

Outre les services de l’entreprise habilités à traiter les données personnelles des employés en raison de leur rôle, les destinataires de ces données sont strictement limités aux organismes et personnes suivantes :

Organismes administratifs et sociaux

• Urssaf, caisse de retraite, organisme de prévoyance, service des impôts, service de médecine du travail compétents, Pôle emploi, etc.

Supérieurs hiérarchiques

Seules les personnes chargées de la gestion du personnel et les supérieurs hiérarchiques peuvent consulter les informations des salariés nécessaires à l’exercice de leurs fonctions (exemple : données d’évaluations, rémunération, etc.).

Instances représentatives du personnel

1. Les délégués du personnel ont accès aux données figurant dans le registre unique du personnel (nom, nationalité, fonction occupée, date d’entrée dans l’organisme, etc.).
2. Le comité d’entreprise peut obtenir certaines informations après information et accord des salariés.
3. Les organisations syndicales peuvent, après accord avec l’employeur, adresser aux salariés des messages d’information syndicale par courrier électronique, sauf opposition des salariés.

Sous-traitants

La gestion de certaines tâches (comme la paie) peut être confiée à des sociétés sous-traitantes. Dans ce cas, seules les données nécessaires à l’exécution de la prestation leur sont transmises (nom, numéro de sécurité sociale, coordonnées bancaires, situation familiale, etc.). Ces sociétés ont l’obligation de traiter ces données uniquement pour la finalité de la sous-traitance et d’en garantir la confidentialité et la sécurité.

Autres destinataires

L’employeur ne peut révéler les coordonnées personnelles d’un salarié que si la loi ou une décision de justice le prévoit (exemple : médecin contrôleur de la sécurité sociale, huissier disposant d’un titre exécutoire, etc.).

En outre, l’organisme auprès duquel vous demandez votre « droit d’accès » devra vous fournir les informations sur l’éventuel transfert de vos données vers un pays en dehors de l’Union européenne ou vers une organisation internationale. ^[3]

Conclusion

La protection des données personnelles dans le cadre de la gestion des ressources humaines est un enjeu majeur pour les entreprises. En se conformant au RGPD, elles garantissent la confidentialité et la sécurité des informations sensibles de leurs employés, tout en respectant leurs droits fondamentaux. Cela favorise la confiance et la transparence, essentielles pour une relation saine entre l’entreprise et son personnel. Retrouvez tous nos articles ici.

Bien que la mise en œuvre du RGPD représente un défi, elle permet aux entreprises de démontrer leur engagement envers l’éthique et la responsabilité. En adoptant des pratiques respectueuses de la vie privée, elles renforcent leur image et leur crédibilité auprès de leurs employés, clients et partenaires. C’est un investissement à long terme qui contribue à la pérennité et au succès de l’organisation.

FAQs

Quels sont les principes fondamentaux du RGPD ?

Le RGPD s’appuie sur quatre principes fondamentaux pour la protection des données personnelles. Ces principes sont : la finalité, qui exige que les données soient collectées pour des raisons spécifiques et légitimes ; la pertinence, qui stipule que seules les données nécessaires pour atteindre ces objectifs doivent être collectées ; la limitation de la durée de conservation, qui impose que les données ne soient pas conservées plus longtemps que nécessaire ; et la sécurité, qui requiert que des mesures adéquates soient mises en place pour protéger les données personnelles.

Quelles catégories de données personnelles sont identifiées par le RGPD ?

Le RGPD distingue trois catégories principales de données personnelles : les données d’identité, qui incluent le nom, le prénom, l’adresse, la photo, la date et le lieu de naissance, entre autres ; les données relatives à la vie personnelle, qui peuvent comprendre les habitudes de vie, les loisirs, la situation familiale, etc. ; et les données concernant la vie professionnelle, telles que le CV, les diplômes, la fonction et le lieu de travail.

Quel est le cadre légal régissant la gestion des ressources humaines et la protection des données personnelles ?

Le cadre légal pour la gestion des ressources humaines (RH) et la protection des données personnelles est défini par le RGPD. Ce règlement européen standardise le traitement des données personnelles, qu’elles soient sur papier ou en format numérique, et affecte particulièrement le domaine des RH, qui traite de nombreuses données sensibles concernant les employés et les candidats.

Comment le RGPD définit-il les données personnelles ?

Selon le RGPD, les données personnelles incluent toute information qui, bien qu’anonymisée, chiffrée, ou pseudonymisée, peut être utilisée pour réidentifier une personne. Cela signifie que ces données, malgré leur traitement, restent sous la protection du RGPD, car elles conservent le potentiel d’être associées à une personne spécifique.

Références

[1] – https://www.monster.fr/recruter/ressources-rh/actu-rh/conseils-d-experts/pourquoi-les-rh-doivent-s-approprier-le-rgpd/
[2] – https://www.digitalrecruiters.com/blog/comment-le-rgpd-impacte-t-il-les-rh
[3] – https://www.cnil.fr/fr/comprendre-mes-droits/le-droit-dacces-connaitre-les-donnees-quun-organisme-detient-sur-vous