Dans le cadre du RGPD, les droits de la personne et les obligations des responsables du contrôle et du traitement des données à caractère personnel ont été renforcés afin de mieux protéger la vie privée des individus. Dans le genre, le secteur des ressources humaines fera l’objet d’une attention particulière.
Voici quatre pratiques du RH impactées par le RGPD :
Le consentement
Si les professionnels des ressources humaines ont toujours exigé le consentement des postulants ou des salariés pour recueillir leurs données personnelles, la définition du consentement change. Désormais, il doit être « précis, éclairé et sans ambiguïté ». Par ailleurs, la qualité de donnée personnelle a été élargie et inclut désormais des informations comme les adresses IP ainsi que les coordonnées bancaires, numéros de téléphone, etc. Une transparence totale est exigée sur le type de données détenues et leur finalité. De même que la façon dont ces données ont été obtenues et la base légale sur laquelle cette collecte a été effectuée. Notamment : Est-ce que cette collecte entre dans la catégorie des intérêts légitimes ? Le traitement des données est-il nécessaire à l'exécution d'un contrat dans lequel l'intéressé est partie prenante ?
La personne concernée a également le droit de demander l'accès à toutes les informations détenues par l'entreprise la concernant. Une fois la demande effectuée, l’entreprise doit fournir ces informations sans frais, dans un délai de 30 jours. Le postulant a également le droit de révoquer son consentement à tout moment et de demander à l'entreprise de ne plus détenir et de supprimer tout renseignement personnel. Cela signifie que les recruteurs doivent tenir à jour un registre des consentements et des activités de traitement des données. Ils doivent également être en mesure d'expliquer pourquoi certaines données sont collectées et conservées et prouver que ces informations sont utilisées conformément à l'usage auquel elles sont destinées. Par exemple, si un candidat envoie son CV par courrier électronique, son adresse mail ne peut pas servir à des campagnes de marketing ou de vente. En termes de conformité, la charge de la preuve incombe aux responsables du contrôle et du traitement des données, si bien que les services RH doivent clairement définir le support, les conditions d'obtention des données et leur stockage.
L'information aux salariés
Les cyberattaques étant de plus en plus fréquentes et de plus en plus sophistiquées, le RGPD a également pour but de rendre les entreprises plus responsables en cas de vols de données. Toute violation de la sécurité ou de la vie privée doit être signalée aux parties concernées dans les 72 heures après la découverte de l'incident. Les départements RH doivent mettre en place des processus clairs pour identifier les violations et les signaler dans les délais prévus.
L'accès à ses données
L'un des éléments clés de la conformité au RDPP concerne la limitation de l’accès aux données personnelles des postulants ou des salariés à des personnes autorisées. Les équipes RH devraient rechercher des solutions pour assurer la sécurité ultime des données sensibles. Le chiffrement en est une. Le département RH peut aussi ajouter des procédures d'authentification rigoureuses, comme des mots de passe à trois niveaux de sécurité. Ces solutions limitent les possibilités d'attaques ou d'accès à l'information par négligence.
La suppression des données personnelles
Les services RH ne peuvent plus stocker indéfiniment les données personnelles. Il leur faut désormais un motif raisonnable et justifiable pour conserver ces données. Ils doivent mettre en place des politiques solides justifiant la conservation d’informations sur les candidats après que le poste pour lequel ils ont postulé a été pourvu. Ils doivent également réfléchir à la manière de communiquer cette information aux futurs salariés potentiels. Éventuellement, ces données peuvent être conservées en cas de nouvelle opportunité d’embauche. Un courriel expliquant la politique du recruteur et demandant le consentement de l’intéressé peut éviter des déconvenues.
Conformité avec des tiers
En tant que responsable du traitement des données, le département des ressources humaines peut également être tenu responsable des tiers qui traitent des données personnelles en son nom. Les professionnels des RH doivent faire l’inventaire des logiciels ou des plates-formes qu'ils utilisent et s'assurer qu'ils sont conformes au RGPD. Il est également important de noter qu'aucune plate-forme n’implique automatiquement que son utilisateur est conforme au règlement. Seules les politiques de l’utilisateur sont en mesure de garantir cette conformité. Par exemple, même si certains systèmes facilitent la gestion des données, leur utilisation ne garantit pas qu’ils sont conformes avec le règlement général sur la protection des données.
Le service RH est en plus un des services les plus sensibles qui doit être "audité" par la DSSI. Car à mon sens, le désir de dissimuler ou modifier des informations éventuellement dérangeantes est très tentant car le RSSI et/ou le DPO peut se retrouver devant des données très confidentielles et être personnellement concerné par ces dernières.
Signaler un abus