RGPD et RH avec PeopleDoc : toutes les ressources pour avancer !

Si vous êtes arrivés ici, c'est que vous vous posez certainement des questions sur les implications du RGPD pour la fonction RH. Loin d'être un grand méchant loup, le Règlement pour la Protection des Données (ou GDPR) est une opportunité pour les RH d'engager le dialogue en matière de Data Privacy et d'ouvrir la voie à des projets qui vont souder l'entreprise et solliciter l'expertise RH, conjointement à celles des services juridiques, IT et sécurité. Par exemple : la formation interne aux problématiques de sécurité, la communication et la transparence à travers la question de gestion des données salariés gérées par les entreprises.

Nous avons conçu cette page avec nos experts PeopleDoc pour vous offrir l'accès aux informations principales sur le RGPD. Vous trouverez par exemple les réponses aux questions suivantes :

- Quels sont les champs d'applications du RGPD ?

- Quelles sont les pénalités en cas de non-respect du RGPD ?

- Selon la CNIL, comment peut-on traiter les données personnelles des salariés de manière licite, loyale et transparente ?

- Existe-t-il un code de conduite à adopter en matière de gestion des données personnelles ?

- Le profilage des données, qu'est-ce que c'est c'est ?

- Les lignes directrices ou le g29 (en français !)

- Quelles sont les implications de l'article 33, lié à la sécurité ?

⬅️ Et beaucoup d'autres ! Pour accéder rapidement aux chapitres qui vous intéressent, cliquez sur le menu à gauche de la page.

Pour recevoir toutes les informations utiles directement dans votre boîte mail, abonnez-vous à notre MOOC RGPD gratuit pour RH ! Toutes les infos ici.

Bonne lecture !

Le RGPD : définition

Le Règlement Général pour la Protection des Données, qui entrera en vigueur à compter du 25 mai 2018 à l'échelle européenne, change la donne en matière de protection des données des collaborateurs des entreprises.

"L'objectif de ce règlement est de redonner aux citoyens le contrôle de leurs données personnelles, tout en unifiant les réglementations relatives à la protection de la vie privée dans l’Union européenne."

Arnaud Gouachon, Chief Legal Officer PeopleDoc

Les principes du RGPD

La Responsabilité : c'est désormais à l'organisation que revient la charge de la preuve, c'est-à-dire de prouver qu'elle respecte bien le règlement.
Le Privacy By Design : prendre en compte la notion du respect de la vie privée dès la conception d’un nouveau traitement
Le DPO (Data Protection Officer)
La notion de Security by Default
La production d'une étude d'impact

🇪🇺 Le RGPD : qui est concerné ?

- Le RGPD remplacera la Directive de 1995 (95/46/CE) : impossible désormais de produire une transposition nationale, le règlement s'applique à tous les pays de la même manière. Toute entreprise ayant des employés résidant dans l'EEE doit s’y conformer, même si le siège de la société n'y est pas installé.

- En outre, les exigences du RGPD s'appliqueront directement aux fournisseurs tiers qui traitent les données personnelles des salariés (les sous-traitants de données) pour le compte de leurs clients (les responsables de traitement), qui doivent également s'y conformer.

🎯 La mission du RGPD

Le RGPD possède un périmètre large de processus liés à la confidentialité des données, qui vont transformer l'organisation et la gestion des procédures liées aux données salariés ainsi qu'aux droits de ces derniers.

Par exemple les transferts de données salariés à l’étranger (même momentanément !), et des mesures générales de sécurité et de contrôle sur la data.

La mise en conformité de votre entreprise exigera du temps, des efforts, et des ressources mobilisées des services RH.

🔐 Le RGPD : une nouvelle ère dans la protection des données

Cyberattaques, mise en application du RGPD le 25 mai 2018, la question de la sécurité des données occupe plus que jamais la sphère de l'entreprise. Dans quelle mesure cela concerne-t-il la fonction RH ?

Il est inutile de parler de Privacy si les enjeux de sécurité ne sont pas pris en compte en préalable de la démarche de conformité. Le RGDP (Règlement Général pour la Protection des Données) propose un nouveau paradigme de protection des données personnelles ou la confidentialité se confond très largement avec la sécurité.

Les conséquences pour les directions RH : depuis leur arrivée dans une entreprise jusqu'à leur départ, les collaborateurs livrent une grande quantité de données à caractère personnel que les RH doivent collecter, traiter et stocker. Surtout, l'évolution de la notion de traitement de données personnelles prendra une ampleur toute particulière ! ⬇️ ⬇️ ⬇️

#RGPD Un simple fichier Excel contenant des contacts constitue un traitement de données personnelles ! @PeopleDoc_FR http://bit.ly/2tK5GB3

RGPD & RH les infos pratiques essentielles from PeopleDoc-FR

💻 Traitement des données personnelles

Avec le RGPD, l’UE protège les données personnelles salariés

Un de ses objectifs : améliorer la protection des données pour les salariés.
Son moyen de pression : des pénalités substantielles en cas de non-conformité. On vous conseille de ne pas ignorer le RGPD, qui entrera en vigueur le 25 mai 2018. Les sociétés non conformes feront face à des pénalités difficiles à ignorer. Les amendes peuvent s'élever jusqu'à 20 millions d’euros, ou jusqu'à 4% du chiffre d'affaires global annuel d'une entreprise. De plus, les salariés pourront intenter des poursuites directes, y compris en justice, directement contre leur employeur.
Son délai avant la mise en application : 25 mai 2018. Une deadline à intégrer dans sa roadmap pour avoir le temps d'en comprendre les règles ainsi que son impact tant sur l’organisation que votre métier RH.

🏤 D'une directive au règlement : le rôle de la CNIL

Le RGPD remplace la Directive de 1995 (95/46/CE). Ce que ça change ? Impossible désormais de produire une transposition nationale, le nouveau règlement s'applique à tous les pays de la même manière. Par ailleurs, les autorisations préalables n'existeront plus, tout procédure sera remplacé par le principe de Accountability (ou Responsabilité).

La CNIL, avec la Loi informatique et libertés définit les principes à respecter lors de la collecte, du traitement et de la conservation de données personnelles.

Les principes de sécurité des données

La CNIL a explicité les principes à suivre en matière de sécurité des données, qui sont listés ci-dessous :

La finalité : il faut définir les objectifs du fichier (qui respecte les droits et libertés des individus).
La pertinence, ou minimisation : seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées.
La conservation : on ne conserve pas les données indéfiniment.
Les droits : il faut garantir un droit d’accéder à ces données, un droit de les rectifier et enfin un droit de s’opposer à leur utilisation.
La sécurité: il faut garantir la sécurité des données et leur confidentialité.

Analyse d'impact : l'article 35 et le DPIA

L’article 35 du RGPD prévoit la conduite d’une analyse d’impact sur la protection des données (ou encore DPIA - Data Protection Impact Assessment), lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.

Comment ça marche ? Comment procéder ? La CNIL a édité une infographie complète disponible ici !

Les lignes directrices du G29

Le G29 (c'est-à-dire un groupe de travail qui rassemble les représentants de chaque autorité indépendante de protection des données nationales, en vertu de l’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation, et qui va bientôt s'appeler "Data Protection Board.") a publié des lignes directrices destinées à clarifier le cadre juridique lié au Règlement Général sur la Protection des Données.

Vous pouvez accéder aux textes officiels en cliquant sur les liens suivants :

Le traitement des données salariées au travail, comment ça marche ? Lire l'article de la Commission européenne.

⚖ La sécurité : Article 32 et Article 33 du RGPD

Les articles 32 et 33 au coeur des questions de la sécurité des données

L’article 32 du règlement donne les objectifs suivants de sécurité :

Pseudomynisation ou chiffrement des données
Confidentialité, intégrité, disponibilité des systèmes et services de traitement
Disponibilité de l’accès aux données personnelles en cas d’incident
Test, analyse et évaluation

Mais l’article 32 n’est pas l’unique article pouvant impacter les besoins de sécurité.

"L’article 33 introduit une exigence de notification en cas d’événement de sécurité menant à la perte, divulgation ou destruction de données. Même si cela n’est pas explicitement décrit dans cette réglementation, la notification sous-tend d’être apte à détecter ces potentiels évènements de sécurité, qu'on appelle aussi Data Breach."

Alexandre Menguy, Global Security Manager - PeopleDoc

Ces exigences de sécurité, confidentialité, intégrité et disponibilité font partie intégrante des services PeopleDoc. Au-delà des attentes fortes de nos clients sur ces sujets, PeopleDoc a adopté une approche proactive pour maintenir la sécurité de ses services Cloud mais aussi de ses processus internes :

Chiffrement des données au repos et en transit
Protection périmétrique des plateformes et segmentation de l’architecture
Protection contre les attaques par déni de service et applicatives
Redondance des plateformes
Multiples stratégies de tests de sécurité : audits de sécurité classiques annuels, Bug-bounty privé, Tests de sécurité en continu.
Sécurité organisationelle : système de management de la sécurité informatique (SMSI) certifié ISO/IEC 27001 Secure Development life-cycle pour garantir la sécurité des services des leur conception
Programme de sensibilisation interne sur les risques et les pratiques de sécurité mais aussi sur les aspects de Data Privacy

En savoir plus sur nos politiques de sécurité

👮🏾 Nouvelle fonction RH : le D.P.O. ou Data Protection Officer

PeopleDoc a renforcé ses équipes début 2017 avec un nouveau collaborateur : le Data Privacy Officer. Les fonctions du D.P.O ont été établies au sein de l’équipe juridique.

Sa mission : la mise en conformité avec le nouveau règlement, et la veille sur la protection des données personnelles dans l’ensemble des activités, y compris RH.

"Chez PeopleDoc, nous traitons aussi bien les données RH de nos collaborateurs, que celles de nos clients. C'est pourquoi la création de cette fonction était indispensable. Mais ce n'est pas le cas de toutes les organisations."

Fernanda Gonçalves, Compliance Manager, PeopleDoc

Toutes les entreprises n'ont pas le traitement des données personnelles au coeur de leurs activités ou de leurs produits. Pour celles-là, la mise en conformité sera un processus particulièrement lié à la fonction RH, qui par défaut, organise le traitement des données personnelles dans les organisations.

Lire le Règlement pour la Protection des Données Personnelles dans son intégralité !

📍 Les exigences du RGPD pour le métier des RH

Côté RH, il existe ainsi plusieurs chantiers sur lesquels se pencher en priorité :

Communication sur la politique générale de protection des données
Sécurité et gestion des habilitations
Politique de rétention des données
Information globale aux candidats et collaborateurs

Politique de confidentialité : la fonction RH a la lourde tâche de faire respecter les nouvelles réglementations, mais aussi de formaliser clairement ces droits pour informer les collaborateurs. Le Règlement Général pour la Protection des Données renforce la transparence dans le traitement des données salarié ainsi que la responsabilité de l'entreprise. Les services de ressources humaines doivent ainsi mettre à jour la politiue de confidentialité de l'entreprise et informer les collaborateurs.

Processus RH : la mise en application du RGPD exige aussi des services RH de mettre à jour leurs processus administratifs internes. Par exemple : le principe de Minimisation selon lequel "avant toute collecte et utilisation de données personnelles, le responsable de traitement doit précisément annoncer aux personnes concernées ce à quoi elles vont lui servir."

"Ce nouveau règlement implique de repenser chaque nouveau processus administratif RH qui nécessite des données personnelles du collaborateur, et ce, dès l'étape du recrutement."

Fabien Lerays, VP Operations EMEA

La sécurité : c'est un chantier qui demande de l'anticipation. Pour les RH, quelle(s) application(s) ? Parmi elles, celle de la gestion des rôles. Savoir qui a accès à des documents personnels sera crucial.

La gestion documentaire RH : après le 25 mai 2018, il faudra transmettre ou faire signer de nouveaux documents RH aux collaborateurs. Par ailleurs, la question de la rétention des documents salariés devra être placé au centre des attentions RH. Toute entreprise pourra faire face à des pénalités si elle conserve des documents sans raison explicite et valable.

Abonnez-vous à notre formation RGPD pour RH

En suivant cette courte formation RGPD en ligne, vous apprendrez (entre autres !) :

1ère leçon - Quel impact précis sur la fonction RH ? Conformité, processus, conduite du changement.
2ème leçon - Data Protection Officer, Global Compliance Manager... quelles sont les nouvelles fonctions liées à la conformité règlementaire ?
3ème leçon - Article 33, g29... Au delà des articles, comment aborder la conduite du changement auprès des collaborateurs et des équipes RH ?
4ème leçon - CNIL, amendes, recours : que faire si votre organisation n'était pas prête à temps ?
5ème leçon - Le RGPD aujourd'hui... et demain ? Conformité réglementaire et mondialisation : comment aborder sereinement le challenge permanent des ressources humaines grâce au digital ?

RGPD et Ressources humaines : tout savoir avant mai 2018

Le RGPD en bref