Ressources Humaines : les nouveautés apportées par le RGPD

CV, bulletins de paie, montants des cotisations sociales ou encore arrêts maladie, les directions des ressources humaines au sein des entreprises sont amenées à traiter des quantités non-négligeables de données personnelles. Celles-ci ne cessent d’ailleurs de s’accroître au fil de l’intégration de nouvelles technologies : à ces premières informations classiques, peuvent s’ajouter les images de vidéosurveillance, les données de géolocalisation des véhicules d’entreprise en dehors des horaires de travail, les données biométriques, ou encore les informations d’utilisation fournies par les outils technologiques employés.

Le service des ressources humaines, central pour une entreprise, dispose donc de grandes quantités de données stratégiques, mais qui sont parfois des informations confidentielles, voire sensibles. Au-delà des données personnelles des employés qui sont collectées tout au long de leur carrière, du recrutement jusqu’au départ, sont aussi stockées des informations concernant les candidats, les intérimaires, les collaborateurs indépendants ou les consultants…

Il était donc fondamental que ce secteur soit concerné par les nouvelles exigences fixées par le RGPD. Cette réglementation lui impose en effet de nouvelles contraintes :

  • Seules les données strictement nécessaires à une tâche particulière doivent être récoltées pour celle-ci. Il est par exemple interdit de demander au candidat son numéro de sécurité sociale ou l’emploi occupé par son conjoint. Ces données ne sont ni pertinentes, ni nécessaires à ce stade.
  • Les données collectées doivent être rapidement supprimées lorsqu’elles ne sont plus utiles.
  • L’ensemble du personnel doit être informé de toutes les données personnelles collectées, ainsi que de toutes les modalités de traitement ou de collecte.
  • Il est nécessaire de recueillir le consentement de chaque membre afin de collecter et de traiter ses données personnelles.
  • Evidemment, il faut également respecter leurs droits classiques relatifs à leurs données, droit d’accès, droit de rectification, droit à l’oubli…
  • Il faut garantir le traitement sécurisé et la confidentialité des données, mais aussi choisir des prestataires offrant des garanties de conformité.
  • Autres points importants : mettre en place une charte RH interne, cartographier et tenir à jour un registre des traitements des données à caractère personnel, réaliser des études d’analyse d’impact relatives à la protection des données (AIPD) chaque fois que nécessaire.
  • Enfin, dernière exigence, l’engagement d’un délégué à la protection des données (DPO) externe.

Une étude effectuée par Markess dévoile que pour 77 % des décideurs RH la confidentialité des données impacte fortement leurs missions. De tels changements modifient donc nécessairement de nombreuses pratiques propres à la gestion des ressources humaines, à commencer par le recrutement.

Des changements concernant le recrutement

Le recrutement s’était modernisé au sein de nombreuses entreprises et cabinets, au point de se voir amélioré par l’intelligence artificielle et le big data afin de pouvoir mener de larges recherches et de prendre en compte de nombreux critères permettant de trouver le candidat idéal. D’après un sondage de Deloitte, 42 % des personnes interrogées pensent que l’intelligence artificielle sera largement déployée dans leurs organisations d’ici trois à cinq ans, pour une nette amélioration des performances dans de nombreux domaines. Selon Romain Dionnet, Manager Exécutif chez HAYS, couplé à l’intelligence artificielle, “le big data permet d’affiner la recherche en croisant des données telles que la disponibilité, la mobilité, la rémunération, etc. en une vitesse record. En quelques clics, je vais savoir sur 700 candidats qui est mobile dans le sud du 91, alors que j’aurais dû passer beaucoup de coups de fil pour répondre à cette question”.

Mais le RGPD vient encadrer ce nouveau genre de recherches :

  • le consentement des candidats dont les recruteurs souhaitent ajouter les informations à leurs bases de données doit obligatoirement être recueilli au préalable.
  • Les candidats doivent pouvoir accéder aux informations recueillies par l’entreprise via une page web, et doivent avoir la capacité de modifier et de supprimer en partie ou intégralement ces données.
  • Ils doivent également être avertis dans un délai de 72H de toute fuite de données.

Se procurer des profils ou cv de candidats sans leur consentement n’est donc plus envisageable.

Une transition numérique façonnée par le RGPD

Les fonctions RH ont entamé une transition numérique considérée comme bénéfique : selon une étude de Markess, 54 % des décideurs RH estiment que donner une dimension digitale à la fonction RH est prioritaire, et permet d’automatiser de nombreux processus tout en améliorant les performances de la fonction pour 66 % d’entre eux.

Cette évolution se voit évidemment impactée par le RGPD, qui amène la nécessité d’une étroite collaboration entre RH et IT (technologies de l’information, département informatique des entreprises) afin d’aboutir à une gestion conforme des stockages et transferts de données au sein des entreprises. Un sondage du cabinet de recrutement spécialisé Robert Half annonçait d’ailleurs que 7 entreprises sur 10 projetaient de recruter afin d’assurer la mise en oeuvre et le suivi du RGPD.

32 % des décideurs RH français ont conscience que l’obligation de protection des données les oblige même à adapter leurs systèmes d’information de gestion des ressources humaines (SIRH), d’après Markess. Un autre rapport réalisé par IDC révèle que 33% des responsables RH sont préoccupés par la confidentialité des données et le RGPD, et 76 % d’entre eux sont influencés par cette nouvelle réglementation ainsi que d’autres législations sur la confidentialité des données comme critères d’acquisition d’une solution de Gestion du Capital Humain (HCM).

Risques et avantages

Si les services RH furent contrôlés en priorité par la CNIL en 2018 en faisant l’objet de 75 inspections sur les 300 prévus, c’est sûrement en partie parce que 16 % des plaintes adressées à l’autorité administrative en 2017 concernaient les ressources humaines selon son rapport d’activité. Lors de tels contrôles, sont fréquemment reprochés des temps de conservation trop longs de certaines données, le recueil d’informations qui ne sont pas nécessaires, et certaines annotations ou remarques qui constituent un jugement de valeur ou relèvent de la vie privé. Les dossiers des candidats et des employés ou les moyens de les informer à propos de leurs droits sont d’ailleurs vérifiés en priorité.

Mais en dehors des contraintes et sanctions, le RGPD introduit également le concept de coresponsabilité, qui fait qu’en plus des DRH, tous les éditeurs ou partenaires impliqués dans le recueil et la gestion de données personnelles des candidats ou du personnel de l’entreprise peuvent être tenus pour responsables en cas de plainte ou de problème lié à ces mêmes données.

Au sein d’un sondage européen réalisé par SD Worx avant l’entrée en vigueur du RGPD, 55 % des interrogés estimaient que ce dernier posait un risque pour le secteur des RH et les obligeait à mettre en place diverses solutions pour s’y conformer. Mais cette même étude révélait déjà que le nouveau règlement apporterait des bénéfices évidents : 71 % des professionnels en RH belges pensaient que l’amélioration de la sécurité des données en serait un des plus importants.  

Un sondage effectué par Markess rapporte que garantir la sécurité des données constitue une priorité pour 97 % des DRH en matière de gestion de leurs données d’ici 2020, mais ceux-ci font déjà face à un nouveau challenge avec la mise en place du prélèvement à la source et donc une nouvelle donnée à caractère personnel qu’ils doivent traiter et protéger : le taux d’imposition des collaborateurs…