Solutions pour
l'Entreprise Intelligente et
l'Expérience Collaborateur

Blog Veryswing - Actualités


Gestion du personnel et RGPD : comment gérer et être conforme ?




Actualités  |  13/11/2020

40% des Data Protection Officer (DPO) et juristes ont profité du confinement pour mettre leur entreprise en conformité RGPD, selon une enquête data légal drive.  

En tant qu’entreprise vous êtes amené à traiter les données personnelles de vos collaborateurs et candidats. Vous devez donc mettre en place un protocole de traitement de ces données sensibles, qui sont encadrées par le RGPD.

La CNIL met à disposition un référentiel pour accompagner la mise en conformité des traitements des données à caractère personnel liés notamment à la gestion du personnel.

En effet, le confinement à vue des nouveaux processus se mettre en place au sein des entreprises, notamment le télétravail.

Cet article vous explique comment gérer et être conforme au RGPD et les outils à votre disposition pour vous aider à y parvenir plus facilement. Ainsi, vous éviterez une amende allant jusqu’ à 4% du chiffre d’affaires annuel mondial de votre entreprise.

 

Gestion du personnel et RGPD : comment gérer et être conforme ?

Qu’est-ce que le RGPD ?

Le règlement général sur la protection des données (RGPD) vise à encadrer sur le territoire européen le traitement des données personnelles des individus.

On parle de traitement des données personnelles lorsque des actions de collectes, enregistrement, conservation, etc. sont effectuées.  

Par exemple : Un registre du personnel

Une donnée personnelle se réfère à tout ce qui permet d’identifier une personne de façon directe (nom, prénom) ou indirecte (numéro de téléphone, numéro client, ...). Un regroupement de plusieurs informations permet également d’identifier une personne.

Par exemple : son adresse, sa date de naissance et ses pratiques sportives.

 

Pourquoi la gestion du personnel est-elle concernée par le RGPD ?

La gestion du personnel est concernée par le RGPD, car elle consiste à manipuler les données à caractère personnel des collaborateurs et des candidats de l’entreprise. A ce titre, le règlement général entre en vigueur et l’entreprise se doit d’être en conformité sous peine de sanction.

Le responsable du traitement doit également dans son protocole être conforme à la législation du travail, les conventions collectives, etc.

 

Quelles données de la gestion du personnel sont concernées par le RGPD ?

L’identification de l’employé

  • Son identité : nom, prénom, sexe, date de naissance, situation familiale, …
  • Sa situation professionnelle : lieu de travail, numéro d’identification interne, …
  • Son autorisation de travail : numéro d’ordre, type, …

L’évaluation des compétences du candidat au moment du recrutement

  • CV
  • Lettre de motivation

Le suivi des carrières et de la formation de l’employé

  • Sa carrière : date et condition de recrutement, simulation de carrière, …
  • Son évaluation professionnelle : dates des entretiens, résultats obtenus, …
  • Ses formations : diplômes, certificats et attestations, …
  • Administrations de ses visites médicales : dates des visites, aptitudes au poste, …

La réalisation de la fiche de paie et des obligations légales connexes

  • Numéro de sécurité sociale
  • Régime et base de calcul de la rémunération
  • Etc

La validation des acquis de l’expérience

  • Date de la demande de validation
  • Titre ou certificat de qualification
  • Etc

La gestion des déclarations d’accident du travail et de la maladie professionnelle, des arrêts de travail et autres absences autorisées.

  • Coordonnées du médecin
  • Date de l’accident
  • Etc

Les situations ouvrant le droit à des congés spéciaux ou à un crédit d’heures de délégation.

  • Données liées à l’exercice d’un mandat électif
  • Missions de sapeur-pompier
  • Etc

Les outils ou matériels professionnels à la disposition de l’employé dans le cadre de ses missions.

  • Annuaires internes et organigramme
  • Agendas professionnels
  • Messagerie électronique
  • Etc

La gestion des activités sociales et culturelles mises en œuvre par l’employeur

  • Identité de l’employé et de ses ayants droits
  • Revenus
  • Etc

Les élections professionnelles et réunions des instances représentatives du personnel.

  • Convocation
  • Comptes rendus
  • Etc

La lutte contre la discrimination, l’obligation d’emploi, etc.

 

A noter, les données récoltées doivent être mises à jour et de qualité. Elles ont une durée de conservation limitée.

 

 

6 réflexes à avoir pour respecter le RGPD

Collecter uniquement les données dont vous avez besoin

La collecte de données doit répondre à des objectifs précis. Dans le cadre de la gestion du personnel, les objectifs peuvent être :

  • Le recrutement.
  • La gestion administrative des personnels.
  • La gestion des rémunérations et accomplissements des formalités administratives afférentes.
  • La mise à disposition du personnel d’outils professionnels.
  • L’organisation du travail.
  • Le suivi des carrières et de la mobilité.
  • La formation.
  • La tenue des registres obligatoires, rapports avec les instances représentatives du personnel.
  • La communication interne.
  • La gestion des aides sociales.
  • La réalisation des audits, gestion du contentieux et des précontentieux.

 

En tant que responsable de traitement, vous devez obtenir le consentement des personnes concernées. Cependant, du fait de la relation entreprise/collaborateur, vous disposez d’une base légale vous permettant le traitement de certaines données dans des situations bien précises.

Ces bases légales peuvent être :

  • Les mesures précontractuelles.
  • L’intérêt légitime.
  • L’exécution du contrat
  • L’obligation légale

Exemple 1 :  le traitement des candidatures (CV et lettre de motivation) se fait sur la base légale des mesures précontractuelles

Exemple 2 : la gestion des annuaires internes et des organigrammes se fait sur la base de l’intérêt légitime

Exemple 3 : l’établissement des rémunérations se fait sur la base de l’exécution du contrat

Exemple 4 : la déclaration sociale nominative se fait sur la base de l’obligation légale.

 

Noter que les données collectées pour un objectif ne peuvent être réutilisées pour un autre.

 

Être transparent

Un lien de confiance s’établit entre vous et la personne dont vous traitez les données. Vous devez donc être clair sur vos intentions.

Lors du traitement des données à caractère personnel, vous devez informer la personne de cette action. Aucune norme sur la manière de tenir informé la personne a été mise en place.

Néanmoins, l’information se doit d’être « concise, transparente, compréhensible et aisément accessible, en des termes claire et simples ».

La CNIL, propose quelques exemples de mention d’information pour vous accompagner ici.

Respecter le droit des personnes

Les personnes dont les données sont traitées disposent de droits :

  • Le droit de s’opposer au traitement.
  • Le droit d’accès, de rectification et d’effacement.
  • Le droit à la limitation.
  • Le droit à la portabilité.

En cas de demande de consultation, rectification ou de suppression de données, vous devez être capable de répondre rapidement.

 

Noter que les informations concernées par ces droits ne comprennent pas les données dont le consentement été donné et celles liées au contrat.

 

Encadrer la gestion des données

Les données à caractère personnel ne peuvent être accessibles à l’ensemble des collaborateurs de l’entreprise. Des habilitations d’accès doivent être établies.

Au sein de l’entreprise, les personnes habilitées sont liées par leur mission ou fonction.

Par exemple : les personnes chargées de la gestion du personnel ou de la paie

Toujours dans le cadre de leur mission ou fonction, d’autres organismes liés à l’entreprise peuvent également avoir accès aux données.

  • Les instances représentatives du personnel.
  • Les organismes du système d’assurances sociales.
  • Les entités d’audit et de contrôle financier de l’employeur.
  • Les prestataires (restauration collective, archivage des documents, …).
  • Les entités liées à l’action culturelle et sociale (comités sociaux et économiques, …).

A noter que la transmission de données en dehors de l’Europe est soumise à une règle particulière.

Anticipez les risques

Vous devez adapter le traitement des données aux situations particulières, surtout lorsqu’il s’agit de données sensibles, par exemple lors d’un accident de travail (numéro de sécurité sociale, …).

Assurer la sécurité des données

L’entreprise doit assurer la sécurité des données. Pour cela, elle doit mettre en place un protocole de sécurité.

  • Sensibiliser les utilisateurs par le biais d’une charte informatique, sans oublier d’informer les personnes liées au traitement des données.
  • Authentifier les utilisateurs avec des identifiants et mots de passe conforment.
  • Gérer les habilitations faire le tri dans les accès et définir les bons profils.
  • Tracer les accès et gérer les incidents, notifications de violation de données, système de journalisation, etc.
  • Sécuriser les postes de travail, procédure de verrouillage, antivirus, etc.
  • Sécuriser l’informatique mobile, sauvegarde et chiffrement, synchronisation, etc.
  • Protéger le réseau informatique interne, VPN, protocole WPA2, etc.

 

 

ERP et RGPD : un duo gagnants ?

La CNIL propose un référentiel pour accompagner la protection des données à caractère personnel relative à la gestion du personnel. De plus, les outils technologiques peuvent être de vrais soutiens dans ce processus de mise en conformité.

C’est le cas notamment de l’ERP (Enterprise Ressource Planning), ce dernier permet de faciliter la mise en conformité au règlement européen de votre entreprise.  

En centralisant les données

Le fait que les données soient centralisées dans un seul système d’information, facilite leur gestion.

En ayant des données fiables et à jour

Comme évoqué précédemment, les données récoltées doivent être de qualité et à jour. Au sein d’un ERP les données sont constamment mises à jour via les activités quotidiennes des collaborateurs au sein du logiciel.

Permet de gérer les habilitations

Les données à caractère personnel ne peuvent pas être accessibles à tout le monde. Cela dépend de la mission et de la fonction. A travers des accès de sécurité, l’ERP permet de définir des habilitations.

Permet de classer les données

Les données sont triées et rangées grâce aux différents modules que contient le progiciel.

Facilité l’accès

Les collaborateurs peuvent facilement exercer leurs droits (consultation, modification, etc.) grâce à un accès simplifié à leurs données personnelles.

La transparence

Les collaborateurs disposent d’une vision globale des données conservées par l’entreprise les concernant.

L’accès au progiciel via un système d’authentification

De plus, l’ERP est accessible via un système d’authentification, qui notifie en cas de tentative de violation. Cela permet d’assurer la sécurité des données propres à l’utilisateur concerné.

 

VSA est RGPD compliant

VSA est RGPD compliant

Notre solution VSA est un ERP SaaS qui propose de nombreuses fonctionnalités facilitant les traitements liés au RGPD :

  • Centralisation des données.
  • Gestion de la sécurité.
  • Gestion fine des droits par donnée personnelle.
  • Des fonctionnalités d’anonymisation et d’archivage.

Pour en savoir plus : VSA est RGPD compliant. Simplifiez-vous le RGPD !

 

Pour conclure sur la gestion du personnel et le RGPD

Le règlement général sur la protection des données est un point essentiel à prendre en compte dans vos processus internes, le choix de vos prestataires et de vos sous-traitants, ou encore le choix de vos outils informatiques.

Le non-respect du RGPD entraîne une amende pouvant aller jusqu’à 4% du CA annuel mondial de votre entreprise.

Pour vous accompagner dans la mise en conformité, la CNIL vous propose de nombreux outils, notamment un référentiel sur le traitement des données à caractère personnel dans la gestion du personnel.

Les outils informatiques tels que l’ERP proposent des fonctionnalités pour vous simplifier la mise en conformité avec le RGPD.

 

Lire également