20/02/2018

Lecture : 2 min

RGPD : Quel impact sur les données personnelles recueillies et traitées par les services RH ? Interview du cabinet Alcyaconseil [2/2]

Dès le 25 mai 2018, le nouveau règlement européen sur la protection des données personnelles entrera en vigueur. De nouveaux droits autour du partage, de la sécurisation des données et du consentement sont donc mis en place par le RGPD. 

Béatrice Giry et Justine Gauvin, avocates au sein du cabinet ALCYA CONSEIL, répondent à vos questions sur le RGPD.
Retrouvez ici leur interview pour mieux comprendre le RGPD et les nouvelles obligations induites pour les entreprises. 

Sommaire

Dans cet article, Alcya Conseil fait le point sur l'impact du RGPD sur les données personnelles recueillies et traitées par les RH. Les préconisations données dans cet article ne sont valables qu'au regard du RGPD et n'intègrent pas d'éventuelles règles spécifiquement appliquées au droit du travail.

 

BGiry_1

Béatrice Giry

alcya_home_0

 

Justine BN7A2681 (002)_2

Justine Gauvin

 

Quelles sont les obligations de l'employeur concernant le traitement des données personnelles des salariés?

L'entreprise doit informer le salarié des données récoltées et de leur finalité. Il doit également être en mesure d'en assurer la sécurité et la restitution à la demande du salarié.

Pour une mise en conformité adéquate, les entreprises doivent revoir les clauses des documents de collecte de données personnelles (règlement intérieur, contrat de travail) afin d’informer les candidats et employés de leurs droits et des traitements qui seront apportés à leurs données. Les salariés, tout comme les candidats, doivent être informés de leurs droits en matière de suppression ou de portabilité des données, si ses données font l’objet d’un transfert à l’étranger ou non, de leur droit à rectification … Ces informations doivent apparaître sur le site internet de l’entreprise (en cas de candidature en ligne) ou sur les bulletins d’inscription ou contrats de travail.

Enfin, il est primordial de recueillir le consentement des salariés et candidats avant tout traitement de données personnelles. La preuve du consentement est à la charge de l’entreprise.

 

Quel est l'impact du RGPD sur les processus RH ?

Pendant le processus de recrutement, l’entreprise collecte des données devant uniquement servir à évaluer la capacité du ou des candidats à occuper l’emploi proposé. Il lui est formellement interdit de demander et de collecter des données portant sur la famille, les opinions politiques, les appartenances religieuses ou encore la santé des candidats.

Une fois le recrutement et l’évaluation des candidats effectués, les données et informations recueillies par les services RH doivent être stockées dans une base de données spécifique. Les CV et lettres de motivation doivent être régulièrement purgés et ne pas être conservés plus de 2 ans.

Jusqu’à maintenant, les entreprises avaient l’obligation de déclarer auprès de la CNIL, organisme qui veille à la bonne application de la réglementation. Désormais, à partir du 25 mai 2018, cette obligation déclarative auprès de la CNIL sera supprimée et remplacée par la tenue de registre interne des traitements de données à caractère personnel.

 

Conservation, restitutions et suppression des données personnelles

L’entreprise doit impérativement définir les durées de conservation pour chaque type de données et définir les procédures de suppression de ces données. Les durées de conservation sont imposées pour certaines par la CNIL, et en tout état de cause elles doivent être légitimes et raisonnable au regard du traitement réalisé.

Dès lors que l’entreprise n’a plus besoin de certaines données, elles doivent être supprimées et ce sans délai. Si une procédure de suppression automatique est prévue, le responsable de traitement doit s’assurer de la suppression effective des données.

 

RGPD-Regles-entreprise

 

Avez-vous un conseil à donner aux entreprises pour traiter leurs données RH dans le cadre du RGPD ?

L’entreprise doit mettre en œuvre des moyens de sécurité (physique et numérique) ainsi que des mesures « techniques et organisationnelles », tel qu’un dispositif leur permettant de faciliter l’accès aux données personnelles. L’accès à ces données doit être limité. Les personnes pouvant accéder aux informations d’un candidat sont celles qui interviennent dans le processus de recrutement, ainsi que les administrations informées de l’embauche tel que l’assurance chômage, maladie, retraite, mutuelle.

Par ailleurs, il convient de mettre en place des mesures organisationnelles de type : formation, sensibilisation du personnel aux cyber-risques, piratage, etc. Il est important de rédiger des documents de types « politique de confidentialité », « charte de sécurité », etc. Dans le cadre des traitements les plus sensibles, comme le traitement relatif à des données de santé des salariés, il convient de réaliser une analyse d’impact.

Enfin, nous vous rappelons que désormais, l’entreprise doit notifier à la CNIL toute faille de sécurité dans les 48 heures. Vérifiez que vos hébergeurs prennent bien cet engagement !

Découvrez nos ressources les plus populaires

Le congé de présence parentale modifié par la loi du 8 mars

05/06/2019

Lecture : 2 min

Quelles sont les conditions d'accès au congé de présence parentale ? Afin de pouvoir utiliser son droit de congé de présence parentale, l’en ....

Le droit de grève des salariés dans le secteur privé et public

20/03/2018

Lecture : 2 min

  La grève se définit comme une cessation concertée du travail par des salariés, dans le but de défendre des revendications de nature profes ....

Veille légale - Juin 2021

21/06/2021

Lecture : 3 min

Le congé paternité évolue au 1er juillet 2021 Le congé paternité évolue à partir du 1er juillet 2021 avec un allongement du congé et de nouv ....

Inscrivez-vous à la newsletter Mi-Temps RH, sélection d'articles RH et de veille légale