<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=32847&amp;fmt=gif">

La mise en œuvre du RGPD est souvent décriée. À entendre certains, on assisterait à un big-bang, à une révolution copernicienne de la protection des données, voire à un « cadenassage » des données qui tuerait (rien que cela) l’initiative et ouvrirait grande notre économie aux GAFA et autres BATX qui n’y seraient pas contraints. Loin de ces cassandres, il faut bien convenir que le sujet agite fortement le monde de l’entreprise. Passage en revue des enjeux visibles et moins visibles de la mesure.Même si beaucoup semblent l’oublier, rappelons qu’en matière de gestion et de protection des données personnelles la loi informatique et liberté encadre déjà, depuis de nombreuses années, ce qu’il est possible de faire. De ce point de vue, le RGPD ressemble moins à une révolution qu’à une évolution.

 Les trois évolutions majeures portées par le RGPD

Premier point à retenir de cette évolution : nous disposons enfin d’un cadre général de protection des données personnelles, d’un socle commun entre plusieurs états. Au-delà de la phase d’harmonisation, cela devrait faciliter la mise en œuvre de solutions transnationales.

Le second point d’intérêt de la mesure est qu’elle amène une meilleure lisibilité des dispositifs. En effet, si l’on se focalise sur un champ de l’entreprise que je connais bien, celui des ressources humaines, la quasi-totalité des DRH respectait les directives de la CNIL concernant le recueil et la conservation des données du personnel. La qualité du recueil et de la gestion des données des candidats était, il est vrai, un peu moins bien gérée, notamment en termes de délais de conservation des données.

Ce qui pouvait poser problème vis-à-vis de la réglementation était jusqu’ici moins le recueil et le stockage des données que la lisibilité du système, la transparence des traitements et de leur finalité. La mise en œuvre du RGPD devrait nous conduire à disposer d’une véritable cartographie des données et des traitements mis en œuvre, pour être en capacité de répondre aux demandes de vérification de la conformité de nos fonctionnements.

Le troisième point notable réside dans l’obligation qu’auront les organisations de recueillir le consentement préalable des personnes pour les traitements de données les concernant. Ce dernier point montre bien qu’il est à prévoir quelques spécificités pour les candidats et prestataires de services (travaillant en régie par exemple).

Une mise en pratique parfois complexe

Sans énumérer toutes les obligations liées RGPD, évoquons certains points concrets de sa mise en pratique par les DRH.

En ce qui concerne les candidats, il conviendra de clarifier le recueil du consentement (art 7), de respecter les impératifs de transparence et de loyauté (art 5-6), tout en les informant sur la manière d’exercer leurs droits (art 12 et 23) en permettant l’accès (art 15), la rectification (Art 16), le droit à l’oubli (art 17), la suspension du traitement des informations (art 18), le transfert des données ou portabilité (art 20), le droit d’opposition (art 21)... Sans oublier le refus d’une décision automatique (art 22), qui pourrait placer nombre de solutions de recrutement du marché en difficulté ; une décision de rejet d’une candidature automatique sur la base d’un questionnaire préalable sans intervention humaine serait, par exemple, en contradiction avec l’article 22.

Ces points seront également à examiner vis-à-vis des collaborateurs d’autres entreprises réalisant des prestations, et qui auraient par exemple un badge d’accès ou sur lesquels l’entreprise aurait connaissance d’informations à caractère personnel.

Pour les collaborateurs permanents, quel que soit leur statut, il conviendra d’assurer la conformité des informations (ce qui ne devrait pas poser de problème), mais aussi celle des traitements existants. Ceci suppose d’intégrer en amont, dans la conception des solutions, une logique de preuve de la conformité pour les nouveaux traitements. L’article 30 demande à ce qu’un registre soit tenu à jour.

La désignation d’un délégué à la protection des données (ou DPO, art 37-39) constitue également un point de vigilance. Son rôle est celui d’un « protecteur » aux responsabilités nombreuses. Il lui faut notamment réaliser des études d’impact sur la vie privée avec une analyse des risques (art 35), participer au développement des traitements et à leur mise en œuvre en s’assurant qu’il n’y a pas d’altération, lutter contre les risques de vol ou de fuites de données...

Une responsabilité accrue de l’entreprise

De façon plus globale, le RGPD accroit la responsabilité de l’entreprise. À titre d’exemple, le simple choix d’un prestataire – organisme de formation, éditeur de SIRH – suppose de vérifier que ce dernier répond aux exigences du RGPD et que les traitements de données seront neutres et appropriés. L’entreprise va devoir se prémunir un certain nombre d’éléments de preuve des engagements du prestataire. On peut ainsi présumer que des certifications au RGPD vont bientôt apparaître.

Prenons un peu de hauteur. Le véritable enjeu de la question du RGPD n’est-il pas celui de la confiance ? Nul n’ignore désormais que l’usage d’Internet implique de laisser derrière soi des données qui sont traitées, revendues, alimentent des fichiers. La société du digital n’est pas pour l’heure celle de la confiance, mais de la méfiance ! Dans le domaine des RH, les DRH ont à leur disposition tout un ensemble d’informations sensibles, surtout lorsqu’on les croise entre elles. C’est tout le problème du big data : les gens s’inquiètent de ce que l’on sait sur eux et de la façon dont on l’utilise.

On voit ainsi de plus en plus souvent, en entreprise, des personnes réticentes à donner des informations qui sont pourtant nécessaires au fonctionnement de la DRH. Que se passera-t-il, par exemple, lorsque le prélèvement à la source entrera en vigueur ? L’employeur va connaître les revenus du collaborateur et ceux de son conjoint : cela ne risque-t-il pas d’avoir une influence sur certaines décisions, par exemple en ce qui concerne les augmentations ? La question majeure que se posent les partenaires sociaux et les collaborateurs, c’est : comment va-t-on nous protéger ?

L’entreprise va devoir prendre un certain nombre d’engagements, comme celui de ne pas corréler les informations relatives au prélèvement à la source aux informations permettant de travailler. Pratiquement, dans un outil d’évaluation permettant l’identification des personnes susceptibles d’obtenir une augmentation, le processus de choix ne devra pas donner accès à un document sur les revenus des personnes.

Avec la loi Informatique et libertés, la CNIL se posait déjà la question de l’usage des données : celle-ci n’est donc pas neuve. La question du RGPD est, au bout du compte, celle de la preuve. C’est au travers de la preuve, de la transparence des algorithmes – ce qui va poser problème pour les systèmes à base de machine-learning – que tout va se jouer. C’est la mort annoncée d’un certain nombre d’applications développées de façon agile, dont les algorithmes ne sont pas lisibles. À titre d’exemple, la plateforme d’inscription des lycéens dans le supérieur APB (aujourd’hui remplacée par Parcoursup) ne passerait pas au filtre du RGPD.

En conclusion

Si la compliance RGPD est une chose, la confiance que l’entreprise est capable de susciter chez ses collaborateurs en est une autre, qui représente un enjeu beaucoup plus majeur. Les entreprises, et plus particulièrement les DRH, doivent saisir le problème à bras-le-corps, sans se limiter à la seule question de la conformité. À elles de voir si elles veulent mettre à profit l’opportunité offerte par le RGPD pour s’interroger sur la façon de construire une relation de confiance durable avec leurs collaborateurs. 

rgpd-mooc-formation-ressources-humaines
bg-img-form3.png

Abonnez-vous à notre newsletter

Tous les jeudis, recevez directement dans votre boîte mail nos derniers articles !

bg-img19.jpg
loi_travail-peopledoc.png
Téléchargez le Guide Complet Loi Travail

Avec ce document, vous saurez :

  • faire la différence entre CPA et plateforme de consultation ;

  • le calendrier à respecter pour mettre en place la dématérialisation des bulletins de paie dans le respect de la Loi ;

  • les modalités de refus d'un salarié ;

  • les best practices pour engager vos salariés !

Je veux mon Guide sur la Loi Travail !

Laisser un commentaire

FR18-Global-compliance-RGPD-minisite.png
demo_peopledoc.gif