Depuis le 25 mai 2018, toutes les entreprises françaises doivent être en conformité avec le Règlement Général de Protection des Données (RGPD). Pourtant, nombreuses sont celles qui ne sont pas prêtes. Si le législateur a prévu une certaine souplesse, la mise en conformité impose aux retardataires la production d’un plan de mise en conformité précis, sous peine de sanctions importantes. Parmi les différentes fonctions de l’entreprise, les DRH font partie des plus impactées par cette nouvelle réglementation et les obligations qui en découlent, car elles collectent, traitent et archivent un volume de données personnelles conséquent. Une difficulté apparente qui peut se transformer en levier de performance, grâce à des méthodes et des outils adaptés.
Rappel des enjeux RGPD pour la DRH
Le RGPD oblige tout organisme gérant les données personnelles de citoyens de l’Union Européenne à signaler à l’autorité de contrôle, dans les 72 heures, toute infraction dont elle aurait connaissance. L’amende encourue par l’entreprise dénoncée, peut alors s’élever à 20 millions d’euros ou 4% de son chiffre d’affaires mondial (selon le montant le plus important des deux), une mesure particulièrement coercitive visant à protéger les citoyens de l’Union Européenne du vol ou du piratage de données et des usurpations d’identité potentielles.
L’enjeu de mise en conformité apparaît alors crucial pour les entreprises. Si cette démarche concerne l’entreprise dans sa globalité, la DRH est particulièrement impactée de par le volume et la diversité des données personnelles qu’elle gère au travers de ses différents processus RH.
A ce jour, on estime que 80% des entreprises ne sont pas encore conformes au RGPD. Si la CNIL, organisme de contrôle, a indiqué qu’elle en tiendrait compte et pourrait afficher une certaine souplesse, elle ne le fera qu’à la stricte condition que l’entreprise soit à même de démontrer qu’elle est pleinement engagée dans la démarche.
Un impact sur tout le champ des activités RH
En Décembre 2017, près d’un DRH sur deux (44%) ne savait pas en quoi consistait le RGPD, et seules 25% des entreprises avaient une conception partielle de leurs données. Au regard du volume de données personnelles qu’elle gère sur l’ensemble de ses processus, la contribution de la DRH dans la démarche de mise en conformité est majeure et essentielle. En conséquence, il est impératif de prendre en compte l’ensemble de ses activités pour mettre en place un plan d’action efficace et se prémunir de tout risque de manquement. La DRH manipulant largement de la data – fishing, recrutement, gestion administrative, formation, évaluations, paie, reporting – doit, dans le cadre du RGPD, revoir ses modes de gestion, de sécurisation et de conservation des données personnelles. L’effort de rationalisation devra porter sur toutes les étapes du processus, mais aussi sur la formation et la sensibilisation des collaborateurs concernés. Les sous-traitants et fournisseurs de l’entreprise sont eux aussi concernés et doivent apporter la garantie de leur conformité RGPD ou d’une démarche de mise en conformité en cours. Au regard de tous ces aspects, on comprend la nécessité pour les DRH de pouvoir s’appuyer sur des solutions RH « RGDP compliant », apportant toutes les garanties d’un traitement des données conforme aux modalités définies par le législateur, telles listées dans un précédent article.
Les points de vigilance RGPD pour chaque processus RH
Retardataires : comment se mettre en conformité ?
L’important est de commencer les actions de mise en conformité pour être en mesure de démontrer que des actions tangibles ont bien été engagées par l’organisation.
1. Nommer un DPO (Data Protection Officier)
Recruter ou nommer un DPO (Data Protection Officer), comme prévu à l’article 37 du RGPD. Ce nouveau profil a pour mission de piloter la mise en conformité de l’organisation mais il est également l’interface privilégiée entre la CNIL, l’entreprise et les sous-traitants.
2. Faire l'inventaire des traitements de données personnelles
- Identifier les données personnelles, les données sensibles et leurs flux.
- Recenser les traitements existants et vérifier leur conformité.
- Lister les personnes ayant accès à ces données et identifier la raison pour laquelle elles y ont accès.
- Recenser l’ensemble des traitements analysés dans le registre des traitements.
- Recenser et contrôler les sous-traitants et prestataires externes travaillant à partir des données personnelles de l’entreprise et réviser les contrats de sous-traitance.
- Vérifier que le traitement appliqué par les sous-traitants/prestataires, au format papier et/ou numérique, est conforme au RGPD (accès, consentement éclairé et univoque de la personne concernée et de durée de conservation).
- Faire le point sur les pratiques d’archivage et de durée de conservation des données personnelles RH.
- S’assurer que les solutions RH et SIRH sont conformes au RGDP
3. Mettre en place un plan d'action correctif
4. Informer les collaborateurs et recueillir leur consentement
Le CE/CSE devra être consulté concernant certains traitements contenant des données personnelles et la Charte informatique de l’entreprise devra être soumise aux IRP dans les délais légaux.
Au-delà de la contrainte qu’il semble représenter, le RGPD peut contribuer à améliorer la performance de l’entreprise, mais aussi la confiance et le bien-être des salariés, à condition de rationnaliser outils, méthodes et processus. La transition numérique a déjà considérablement bouleversé, depuis quelques années, le champ des activités RH. La mise en conformité accentue cette transformation, en poussant les décideurs à optimiser les processus et à porter une attention particulière aux systèmes d’information RH. Grâce à ces nouveaux enjeux prioritaires, les DRH vont pouvoir être moteurs dans le décloisonnement de leur organisation, renforcer la qualité de leur coopération avec leurs fournisseurs et sous-traitants, et, grâce à une politique claire de gestion des données personnelles, soigner leur réputation et l’attractivité de leur marque employeur.
Source :
https://www.informatiquenews.fr/rgpd-ou-en-sont-les-rh-54862
Pour aller plus loin :
https://www.journaldunet.com/management/ressources-humaines/1209274-face-au-rgpd-les-ressources-humaines-sont-en-premiere-ligne/