Les données du personnel peuvent vous coûter cher !

Ca y est, c’est décidé, le 25 mai 2018 votre entreprise devra être conforme aux nouvelles exigences européennes en matière de protection des données à caractère personnel. Et gare à celles qui ne le seront pas. Des amendes pouvant aller jusqu’à 20 millions d’euros planeront sur leurs têtes ! Alors avant de vous lancer corps et âmes dans la data RH, big ou pas, soyez attentifs aux quelques explications qui suivent.

 

Le règlement général sur la protection des données a été adopté le 27 avril 2016. Il impose à toutes les entreprises de répondre au nouveau cadre juridique européen en la matière et prend le pas sur les lois nationales. Pas de panique, vous avez plus d’un an pour vous mettre en conformité. Cependant, il y a du pain sur la planche. Le législateur a bien évidemment pensé à la protection des consommateurs et des citoyens, mais celle des salariés n’est pas à négliger et les DRH vont devoir prendre quelques précautions et adopter quelques nouvelles pratiques.

De la donnée du personnel à la donnée à caractère personnel, le pas est vite franchi

 

Par essence, les DRH gèrent des données personnelles. Des numéros de sécurité sociale, une adresse et des coordonnées personnelles, des numéros de comptes bancaires sont collectés et enregistrés dans le système d’information ressources humaines (SIRH). Des normes simplifiées ont été définies par la CNIL afin de faciliter la déclaration des données de base et des finalités d’utilisation les plus classiques (gestion du personnel et gestion des temps principalement).

 

La donnée RH devient pourtant de plus en plus démultipliée, diverse et stratégique. Les enjeux auxquels font face les DRH impliquent d’analyser un CV, d’évaluer les compétences d’un salarié, de définir son profil psychologique ou encore mesurer son niveau de bien-être au travail, autant de source de données qui entrent sous le joug du règlement général sur la protection des données personnelles.

 

Or les applications ou les bornes de collecte de ces données n’intègrent pas toujours des algorithmes d’anonymisation ou de chiffrement. Ces dispositifs ne recueillent pas toujours non plus systématiquement le consentement des participants. Pire, il s’avère que dans certains cas, il est plus pertinent pour l’efficacité d’un traitement de conserver une donnée nominative. Par exemple, connaître l’identité d’un donneur d’alerte sur un cas de harcèlement permet d’accélérer l’instruction de la situation et réduit les risques de délation. La mise en conformité n’est donc pas une option.

 

Un risque lié à la donnée qui s’aggrave et qui peut coûter cher… très cher

Avec l’informatisation de l’entreprise et la multiplication des outils, le volume et la variété des données explosent et dépassent même les frontières de votre organisation. Les profils sur les réseaux sociaux publics, les blogs de vos salariés, leurs échanges sur des forums et des espaces collaboratifs internes ou externes constituent des sources riches en information sur leurs expertises, leurs affinités, leurs aspirations, voire leurs doléances à l’égard de votre entreprise. Sont-elles considérées pour autant comme appartenant à l’écosystème de données RH ? Les dispositifs de protection des traitements inhérents sont-ils conformes ?

 

Enfin et au-delà des liens directs entre une donnée et une personne, la recrudescence des données couplées à la puissance des algorithmes permet des identifications indirectes, par croisement de données, tout aussi concernées par les exigences réglementaires. L’entreprise est donc exposée à un risque croissant vis-à-vis de fuite potentielle ou d’usage abusif de son capital informationnel.

 

Et parallèlement à l’exposition à ce risque, la gravité du risque augmente tout autant. Avec le règlement européen, les amendes passent de 150 000 à 20 millions d’euros, dans la limite de 4% du chiffre d’affaires ! 4%… Sans parler des impacts en termes d’image avec l’obligation de communiquer à chaque individu dont les données personnelles auraient été affectées par un acte frauduleux.

 

Vers une logique de coresponsabilité avec votre éditeur SIRH et vos partenaires

Le nouveau règlement européen n’apporte pas que de nouvelles contraintes. Il propose (ou impose…) également quelques pistes de solution. L’une des plus intéressantes pour les DRH est le principe de coresponsabilité. Le texte prône en effet le partage du risque avec les éditeurs et les partenaires impliqués dans le traitement de données à caractère personnel. Une cellule d’assistance psychologique mise en place pour prévenir les risques psychosociaux et qui ne respecterait pas l’anonymat des appelants serait ainsi tenue pour coresponsable en cas de plainte d’un(e) de vos salarié(e)s.

 

Ainsi, si vos représentants du personnel pointent le non-chiffrement des données par la nouvelle application de mesure en temps réel du climat social et qu’ils saisissent la CNIL, vous pourrez vous retourner vers l’éditeur pour partager le coût de mise en conformité du traitement et le paiement des éventuels dommages.

 

Le règlement européen intègre dans ce domaine quelques-uns des principes du « Privacy by Design ». Ces principes de bon sens soulignent qu’il est plus pertinent de prendre en compte les exigences de respect de la vie privée dès la conception d’une application ou d’un service.

 

Assurément, dans les prochaines années la mention « Privacy by Design » fera la différence en commission d’appel d’offres SIRH.
Pour aller plus loin :

• Sur le règlement européen sur la protection des données personnelles
• Sur le Privacy by Design

 

S’ENRÔLER DANS LA RHVOLUTION