<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=32847&amp;fmt=gif">

Vous le savez (on espère !), PeopleDoc est un éditeur d'une plateforme en mode SaaS totalement dédiée aux RH. Ce que nous sommes aussi : une entreprise en pleine croissance, avec désormais 200 collaborateurs (+50% en un an !) sur 5 territoires. Et face au RGPD, une chose est sûre : nous sommes tous égaux. Nous prenons les questions de conformité réglementaire très au sérieux, nous nous sommes ainsi préparés en avance pour être compliant. Qu'avons-nous appris ? Quelles sont les étapes à suivre ?  Quels sont nos conseils ? La tribune de Fernanda Gonçalves, Data Privacy & Compliance Manager chez PeopleDoc.

WEBINAR RGPD & RH Nos conseils

 

#1 La prise de conscience d'un règlement exigeant

En quoi consiste le RGPD ? Le Règlement Général pour la Protection des Données, qui entrera en vigueur à compter du 25 mai 2018 à l'échelle européenne, change la donne en matière de protection des données des collaborateurs des entreprises. 

L'objectif de ce règlement est de redonner aux citoyens le contrôle de leurs données personnelles, tout en unifiant les réglementations relatives à la protection de la vie privée dans l’Union européenne.

ampoule-blue.png 5 principes le régissent : 
  1. Accountability : c'est désormais à l'organisation que revient la charge de la preuve, c'est-à-dire de prouver qu'elle respecte bien le règlement.
  2. Privacy By Designprendre en compte la notion du respect de la vie privée dès la conception d’un nouveau traitement 
  3. La nomination d'un DPO (Data Protection Officer)
  4. Le principe du Security by Default
  5. La production d'une étude d'impact

Les conséquences directes :

- le RGPD remplacera effectivement la Directive de 1995 (95/46/CE) : impossible désormais de produire une transposition nationale, le règlement s'applique à tous les pays de la même manière. Toute entreprise ayant des employés résidant dans l'EEE doit s’y conformer, même si le siège de la société n'y est pas installé.

- En outre, les exigences du RGPD s'appliqueront directement aux fournisseurs tiers qui traitent les données personnelles des salariés (les sous-traitants de données) pour le compte de leurs clients (les responsables de traitement), qui doivent également s'y conformer.

 

#2 Nous avons découvert le périmètre d'une nouvelle fonction, le Data Protection Officer

PeopleDoc a renforcé ses équipes début 2017 avec un nouveau collaborateur : le Data Privacy Officer. Les fonctions du D.P.O ont été établies au sein de l’équipe juridique. Sa mission : la mise en conformité avec le nouveau règlement, et la veille sur la protection des données personnelles dans l’ensemble des activités, y compris RH. 

Chez PeopleDoc, nous traitons aussi bien les données RH de nos collaborateurs, que celles de nos clients. C'est pourquoi la création de cette fonction était indispensable.

Mais ce n'est pas le cas de toutes les organisations. Pour les entreprises dont le traitement des données personnelles n'est pas au coeur de ses activités ou de ses produits, la mise en conformité se passera essentiellement dans la fonction RH, qui traite des données personnelles par défaut dans les organisations.

 

#3 C'est un projet - pour lequel il faut de la méthode...

C'était une étape très importante pour nous. Se posait ensuite une question fondamentale, mais évidente : par où commencer ?

Pour garantir la pleine conformité avec le RGPD, nous avons entrepris de travailler sur 4 grands chantiers :

  1. la vérification de l’application de tous les principes du RGPD ;
  2. la formalisation des droits des personnes concernées ;
  3. la cartographie des données et la sous-traitance ;
  4. la sécurité des données.
chantiers-rgpd-peopledoc.png

 

 

#4 ... et de la conduite du changement ! 

Dans une évolution légale ou juridique comme celle-ci, on sous-estime souvent l'importance de la conduite de changement. 

Notre conseil : gardez à l'esprit que le RGDP est une question d'habitude et de nouvelles pratiques face à la sécurité des données. C'est-à-dire que c'est aussi une question de conduite du changement, voire de rééducation en interne.

La Minimisation, par exemple, est à même de bousculer les habitudes ! Ce principe, qui a pour but de garantir que seules les données qui ont une finalité spécifique seront collectées va changer la donne en gestion des données. 

Une finalité spécifique, qu'est-ce que cela signifie ? Il s'agit ici des données utiles pour la gestion RH quotidienne, comme les données relatives à l’identité du salarié, à ses données de paie, etc. 

Attention : il faut penser à supprimer ou à anonymiser les données sauvegardées sans finalité, ou les données sauvegardés sans finalité. 

WEBINAR RGPD & RH Nos conseils

#5 C'est un travail d'équipe !

Enjeu d’entreprise, la sécurité des données salariées doit être partagée par tous. Chantier de longue haleine pour les RH, les collaborateurs doivent être partie prenantes de toutes les actions menées en interne.

Par exemple, chez PeopleDoc, nous avons créé une politique de rétention, avec les possibles données et document et le temps minimum et maximum de rétention. Nous avons formalisé ce document dans un fichier Excel pour chaque filiale selon les lois locales en vigueur. Ce document est aussi mis à disposition des salariés via la plateforme PeopleDoc et sera un sujet abordé dans nos prochaines sessions de formation sur la protection des données personnelles.  

Nos salariés et gestionnaires RH peuvent vérifier facilement et régulièrement que les données personnelles figurants sur les différents documents sont exactes (exemple : contrat de travail, bulletins de salaires, dossiers salariés dématérialisés dans les coffres forts numériques).

Ainsi, tout le monde est impliqué ! Mais plus précisément, quels sont les rôles de chacun ?

1. Le rôle des RH

Les responsables RH des entreprises à dimension internationale font face à un enjeu majeur : garantir le respect des exigences légales issues des différents pays, comme la protection des données personnelles des collaborateurs, la gestion digitale des documents RH ou encore la validité de leur signature et/ou archivage électronique.

  • Directives de conservation
  • Les pratiques associées aux enregistrements électroniques tels que la validité de la signature électronique et la transition du papier au numérique
  • La confidentialité des données des employés    

2. Le rôle des salariés

Tous les salariés doivent participer au plan mis en place. 

Ainsi, chaque collaborateur PeopleDoc doit signer un accord de confidentialité. Cette accord comprend le traitement des données en interne mais aussi la confidentialité par les collaborateurs traitant les données RH de nos clients.

3. Le rôle du juridique

Le rôle du service juridique travaille à la mise en place du RGPD à plusieurs niveaux : 

- la formalisation des droits des personnes. Ainsi, même si le droit d’accès aux données existait déjà pour nos clients, une formalisation a été faite depuis avril via une politique de droit d’accès pour l'étendre à nos collaborateurs. 

- l’Inventaire des données et transfert : ce chantier consiste à identifier et cartographier chaque traitement y compris les sous-traitants. Cela permet d'avoir le contrôle sur les données traitées par vous et par vos sous-traitants, mais aussi d’évaluer les mesures de sécurité et de transfert des données en place.

Par exemple, concernant les sous-traitants : la logique de déclaration préalable va changer les habitudes (on revient encore une fois à la question de culture et de méthode !). Avant de commencer un nouveau traitement des données ou avant de signer avec un nouveau sous-traitant, il faut penser à mettre en place un système d’évaluation des risques ou un « privacy impact assessement ».

Chez PeopleDoc nous avons mis en place un système d'évaluation, via une checklist, la finalité du traitement, les mesures de sécurité mises en place par le sous-traitant et la manière dont il gère les droits des personnes concernées, entre autres.

4. Le rôle de l'IT et de la Sécurité

Chez PeopleDoc, la prise en charge du chantier de la sécurité a été prise en charge par le Global Security Manager. PeopleDoc a été certifié ISO 27001 en février 2017, ce que nous couvre bien sur les obligations nommées par l’article 32.

Au-delà de cette certification, PeopleDoc a aussi mis en place une politique en cas de Data Breach, spécifiant qui devra être notifié, quand, et quelles informations fournir.

 

LE BILAN 

- On ne met pas en place le RGPD du jour au lendemain. Comme tout projet, cela nécessite de la planification, des ressources internes, de la communication et une analyse de vos résultats.

Les services juridiques et IT ne sont pas les seuls impliqués dans le cadre de la mise en place du RGPD, qui renouvelle la question de la gestion des données personnelles.  C'est une opportunité pour la fonction RH de créer du lien et de valoriser l'organisation auprès des collaborateurs.

- Cela nous a permis de mettre en pratique nos valeurs de transparence et de sécurité. 

- Nous avons pu comprendre la nécessité d'obtenir les bonnes informations juridiques pour toutes les organisations quelles que soient leur taille ou leur emplacement, c'est une des raisons qui nous a poussé à créer HR Compliance Assist, le service en ligne incontournable pour garantir la pleine conformité réglementaire et réduire les risques liés à la confidentialité des données personnelles des collaborateurs

Garantir la pleine conformité réglementaire : comment ça marche ? 

 

bg-img-form3.png

Abonnez-vous à notre newsletter

Tous les jeudis, recevez directement dans votre boîte mail nos derniers articles !

bg-img19.jpg
loi_travail-peopledoc.png
Téléchargez le Guide Complet Loi Travail

Avec ce document, vous saurez :

  • faire la différence entre CPA et plateforme de consultation ;

  • le calendrier à respecter pour mettre en place la dématérialisation des bulletins de paie dans le respect de la Loi ;

  • les modalités de refus d'un salarié ;

  • les best practices pour engager vos salariés !

Je veux mon Guide sur la Loi Travail !

Laisser un commentaire

FR18-Global-compliance-RGPD-minisite.png
demo_peopledoc.gif