GDPR | RGPD et DRH : cinq chantiers à venir

5 min

Le règlement européen sur la protection des données personnelles (RGPD) concerne tous les métiers d’une entreprise, mais les Directions des Ressources Humaines sont en première ligne. Elles collectent, gèrent et stockent des volumes très importants de données personnelles, tant au niveau du recrutement, de la gestion administrative des collaborateurs, que de la paie ou de la gestion des temps…

Le 25 mai 2018, le règlement européen sur la protection des données personnelles (RGPD ou GDPR en anglais) entrera en vigueur. Rappelons que ces dispositions visent à mieux protéger les données relatives aux personnes physiques, collectées et traitées par les entreprises, qu’elles soient hébergées par leurs soins ou dans le cloud, et enfin que les traitements soient confiés à des prestataires, notamment dans le cadre de contrats d’infogérance ou de BPO (Business Process Outsourcing). Pour contraindre les entreprises à s’y conformer et créer ainsi un marché unique numérique, le législateur européen a prévu des sanctions dissuasives, pouvant aller jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires des contrevenants.

A découvrir : consulter le glossaire complet du RGPD

Concrètement, les entreprises ont obligation de sécuriser les données à caractère personnel qu’elles collectent, et de fournir aux personnes concernées (clients, prospects, partenaires et salariés) une information complète, facilement accessible, et en langage simple, sur les traitements réalisés avec les données collectées, en particulier leurs finalités. Et d’obtenir leur consentement mais aussi d’accorder à ces personnes le droit à l’oubli et le droit à la portabilité concernant leurs données.

Les délais se tendent ! Même si les sanctions ne commenceront sans doute pas à tomber dès le 26 mai de cette année, il sera très risqué d’avoir pris du retard.
Cinq chantiers sont à entreprendre tout de suite s’ils ne sont pas déjà engagés :

1. Le recrutement de nouvelles compétences

Selon une étude du cabinet Robert Half, près de sept entreprises françaises sur dix envisagent de recruter de nouveaux profils dans le cadre de l’application du GDPR. On pense bien sûr à la nécessité de recruter (en interne ou en externe) un DPO (Data Privacy Officer), responsable du projet de mise en conformité des processus de l’entreprise et de son suivi opérationnel. Si elle n’est pas obligatoire pour toutes les entreprises (en fonction des volumes de données), la mise en place de cette fonction de DPO est fortement recommandée, même pour des PME ou ETI.

Mais pour les DRH, les besoins de recrutement vont bien au-delà de ce poste : dans la mesure où le GDPR bouleverse toute la gestion des données personnelles, des compétences telles que Chief Data Officer (en charge des données), gestionnaire de projets, responsables sécurité, expert en traitement des données ou juristes spécialisés paraissent tout aussi nécessaires à intégrer.

2. La sécurité des données RH

Le GDPR impose aux entreprises de sécuriser les données dont elles ont la charge. Et de pouvoir le prouver ! Cela nécessite d’inventorier et de cartographier toutes les données personnelles traitées par la DRH (salariés et candidats), de vérifier quel est leur niveau de sécurité/confidentialité et, si des failles existent, de les combler au plus vite, en veillant bien à attribuer les habilitations de consultation, copie, modification, exclusivement aux collaborateurs qui en ont besoin. En outre, il faut s’assurer que les règles de rétention propres à chaque type de données sont bien conformes aux exigences légales et réglementaires, sans oublier de sensibiliser en interne les personnes amenées à manipuler ces données personnelles.

3. La reconfiguration des processus de la DRH

Dans la mesure où le GDPR va mobiliser tous les départements, il va s’ensuivre inévitablement une transformation des processus de traitement des données personnelles. La DRH se trouve impliquée dans ce projet transversal, et à double titre : sa propre organisation, et l’attribution des ressources adéquates aux nouveaux processus – dans toute l’entreprise.

4. L’adaptation du SIRH et des logiciels RH

Le système d’information dédiée à la DRH va lui aussi nécessiter une adaptation. Les éditeurs de logiciels feront une partie du travail pour mettre à disposition de leurs clients des versions compatibles RGPD, mais cela n’empêchera pas de réaliser un travail sur l’usage des données traitées par ce SIRH.

« Cette prise de conscience est particulièrement forte dans les PME (citée par 50 % des répondants), moins bien dotées en compétences et en ressources pour gérer les risques associés à l’absence de protection », soulignent les consultants de Markess. Par ailleurs, si des projets RH sont développés spécifiquement, par exemple par un intégrateur, un consultant ou une société de services, il faut intégrer dès le cahier des charges une obligation importante du RGPD : la notion de Privacy by Design, qui impose de prendre en compte la sécurité des données personnelles dès la conception d’une application.

5. La formation GDPR

Le RGPD étant l’affaire de tous, et pas seulement des juristes, une évolution de la culture à l’égard du bon usage des données personnelles passe par la formation des collaborateurs. C’est en grande partie l’affaire des DRH de réaliser en interne ces actions de formation et de sensibilisation à la protection des données individuelles.

La feuille de route du DRH,
Que faire dès maintenant ?
– Lister toutes les actions à entreprendre pour être en conformité (avec l’appui d’un juriste, d’un avocat ou d’un expert-comptable) ;
– Inventorier tous les types de données personnelles collectées, gérées et stockées par la DRH, en particulier pour les processus de recrutement ;
– Désigner (ou recruter) un responsable de la conformité RGPD ;
– Valider avec des juristes ce qui doit être fait pour le stockage des données personnelles existantes (par exemple les CV de candidats non retenus…).
Que faire dans les prochaines semaines ?
– Cartographier, même de façon succincte, les flux de données personnelles RH pour éviter de créer des « trous noirs RGPD », dans lesquels les données ne seraient pas contrôlées ;
– Utiliser le logiciel gratuit de la CNIL pour réaliser une analyse d’impact de la protection des données (www.cnil.fr) ;
– Consulter les éditeurs de logiciels RH sur les mises en conformité RGPD et valider les plannings de mise à jour des versions des logiciels ;
– Consulter les experts-comptables et commissaires aux comptes pour vérifier leur niveau d’avancement sur le sujet RGPD (surtout s’ils gèrent les paies).
Que faire après le 25 mai 2018 ?
– Ne pas s’inquiéter inutilement… sauf si rien n’a été fait !
– Prévoir des points réguliers avec le ou les responsables de la protection des données ;
– Vérifier systématiquement que toute nouvelle source de collecte de données personnelles satisfait aux règles de conformité RGPD ;
– Elaborer et diffuser une charte des usages des données personnelles, à la fois pour les équipes RH, les collaborateurs de l’entreprise et les fournisseurs et sous-traitants.