Si les grands process, projets et outils ont rapidement tenté de prendre le pli et d’évoluer pour répondre aux nouveaux impératifs réglementaires, de nombreuses situations ou actions RH demeurent à ce jour hors scope et hors la loi.
Xavier Leclerc est Président Directeur Général du groupe DPMS (Data Privacy Management System), le pionnier de la protection des données à caractère personnel.
Premier DPO de France en 2001, il n’a eu de cesse depuis presque 20 ans d’apporter à son métier sa vision, sa créativité. Il a principalement inventé le principe de « mutualisation », développe aujourd’hui celui de « régie » (accompagnement spécifique de longue durée) ou bien encore a su donner vie au logiciel Privacil, parfait outil qui centralise toute la gouvernance RGPD en facilitant la mise en place et le suivi de la conformité des entreprises.
Xavier Leclerc aborde son métier avec passion, et ne pense qu’à partager avec les autres sa formidable connaissance d’un domaine si technique mais aussi à échanger. C’est pourquoi, il est également fondateur et Président de l’Union des Data Protection Officer (UDPO), membre fondateur et Vice-Président d’honneur de l’Association Française des Correspondants à la protection des Données Personnelle (AFCDP).
Fruits de nos échanges, nous vous proposons d’aborder huit problématiques RH ainsi que les solutions opérationnelles envisageables à court ou moyen terme.
La problématique :
L’écrasante majorité des contrats de travail demeure non-conforme au RGPD. Pour être en conformité, il faudrait a minima rédiger et inclure une clause d’information sur la finalité des traitements et les droits des personnes et de recueil du consentement à la collecte et traitement des données (pour le droit à l’image et la transmission des données aux IRP uniquement).
Les solutions envisageables :
Effectuer une note d’information globale au sein de l’entreprise, prévenant employés et instances représentatives du personnel (CSE) de tous les traitements qui sont mis en œuvre. Intégrer également une clause d’information et de recueil au contrat de travail pour les nouveaux arrivants.
La problématique :
Faire l’inventaire et constituer le registre des activités de traitements est obligatoire, il n’y a pas de petites entreprises exclues. En effet, dans les exclusions présentées par le RGPD, il est annoncé que les structures inférieures à 250 personnes pourraient en être exemptées… sauf si elles effectuent des traitements récurrents, tels que la paie. Aucune entreprise n’est donc exclue du RGPD pour la tenue du registre.
Les solutions envisageables :
La CNIL propose des méthodologies préliminaires et des exemples de registres sur son site. Il est également possible de se tourner vers un cabinet de conseil spécialisé, proposant audit, accompagnement et formation, voire un logiciel dédié (tel que Privacil). La présentation de ce registre aux instances représentatives du personnel permettra d’accomplir une deuxième mise en conformité, tout en répondant à une obligation du droit du travail.
La problématique :
Xavier Leclerc : « Le CSE est une entité juridique indépendante de l’entreprise donc je pose toujours la question suivante : pour la fête des mères ou l’arbre de Noël, votre CSE va faire des cadeaux aux collaborateurs, mais comment a-t-il obtenu les informations familiales sur les collaborateurs ? Neuf fois sur dix, on me répond que c’est la RH qui envoie les coordonnées via un e-mail ou un fichier Excel. Ce sont deux infractions pénales : diffusion de données à caractère personnel à un tiers non habilité et détournement de finalité. »
Les solutions envisageables :
Pour les nouveaux arrivants, il est recommandé d’ajouter à leur dossier du personnel une clause d’information et de recueil de consentement pour envoyer des informations à l’organe social de l’entreprise. Autre solution : demandez à cet organe social de rédiger son propre formulaire de collecte d’information que l’on joindra au dossier du personnel, à l’instar d’un formulaire de mutuelle. Ainsi, la charge peut être déportée vers le salarié et permet d’éviter deux infractions pénales.
La problématique :
Le RGPD introduit des risques, financiers et sociaux. Les formalités déclaratives ont été remplacées par le registre des traitements, présenté aux instances représentatives et prenant bien souvent la forme d’un fichier Excel. Cependant, un fichier Excel demeure falsifiable et modifiable, s’il n’est pas imprimé et tamponné à chaque échéance. Il est impératif de sécuriser un tel document.
Les solutions envisageables :
Opter pour un logiciel dédié à la Data Privacy, permettant de tracer exactement qui dispose d’accès, qui se connecte, par où passe l’information, qui la valide et une historisation, une traçabilité de toute action et des traitements. Constituant une preuve non falsifiable devant les juridictions, le logiciel répond à une exigence d’accountability et annule le risque social.
La problématique :
Les finalités de traitement entre recrutement et embauche sont souvent confondues. A titre d’exemple, les formulaires de recrutement peuvent collecter les prétentions salariales, diplômes, cursus et coordonnées pour préparer les éventuels entretiens, mais pas le numéro de Sécurité Sociale ou des données physiques (en prévision de commande d’équipement de sécurité ou d’uniforme). Pour l’embauche, les données personnelles sont souvent conservées plus longtemps que nécessaire à la finalité du traitement (par exemple, la copie de la carte vitale dans le cadre de la Déclaration Préalable A l’Embauche).
Les solutions envisageables :
Dans le cadre de la DPAE, une fois le traitement effectué et validé (1 mois), ne conservez pas les éléments dans le dossier du personnel. Ne conservez pas les copies des diplômes sauf cas particuliers (tels que les certifications internes à renouveler). Ne procédez jamais à une collecte disproportionnée de données à caractère personnel. Par exemple, ne demandez pas de copie du permis de conduire ou un relevé des points associés. Si vous souhaitez encadrer une flotte de véhicule d’entreprise, préférez la mise en place d’une charte engageant les employés à maintenir un permis à jour.
La problématique :
Le chantier des durées de conservation demeure long, complexe, et nombre d’entreprises ne sont pas en conformité totale. La coresponsabilité des sous-traitants ne doit pas être oubliée. Une cartographie des multiples durées de conservation manque bien souvent. Un élément souvent négligé relève de la conservation des enregistrements des Conseils d’Administration (CA). Outre la question des durées, celle du lieu de stockage est à aborder : des informations personnelles sont-elles stockées dans des armoires au sein de la DRH ? Ces dernières sont-elles sécurisées ? L’organisme d’entretien des locaux a-t-il signé une clause de confidentialité ?
Les solutions envisageables :
Sortir les données à conserver de la base active et les placer dans des archives intermédiaires aux accès différents (pour la direction juridique ou la DRH en cas de contentieux prud’homal). Pour les archives papiers, sécuriser les accès avec une pièce à l’accès limité, pour les RH en cas de contentieux. Puis, en l’absence de contentieux après 5 ans, on purge, fiches de paie comprises (particulièrement dans le secteur privé, sauf si nécessité de conservation exercice des droits à la retraite). De plus, mettre en conformité tous les prestataires (au minimum un avenant avec clause de confidentialité stricte et mesures de sécurité). Équiper les DRH de destructeurs de documents. Dans le cadre des CA, une fois obtenue la validation du PV (lors du CA suivant), on peut détruire les enregistrements.
La problématique :
Le format des habilitations n’est généralement pas adressé de façon suffisamment fine. En cas de contrôle, la CNIL demande les fiches de poste et les habilitations correspondantes, tant au niveau du SIRH que des habilitations globales de l’entreprise. La procédure « arrivée – départ – absence – mutation collaborateur » n’existe pas dans de nombreuses structures.
Les solutions envisageables :
Rédiger avec votre DPO une procédure « arrivée – départ – absence – mutation collaborateur » ou « évolution collaborateur ». La cible est l’encadrement des habilitations, tant en création qu’en suppression, pour uniquement disposer des accès nécessaires à chaque étape de carrière et reprendre le contrôle sur l’attribution des habilitations. Ne pas écarter les profils intérimaires et stagiaires ou alternants de ce process. Affiner la cartographie des accès pour le SIRH, en écriture, en modification et en lecture.
La problématique :
Gérant la maintenance et les mises à jour, un prestataire SIRH peut accéder aux données à caractère personnel et être considéré comme sous-traitant. Des données à caractère personnel peuvent lui être envoyées pour qu’il teste des évolutions. Certains éditeurs hébergeant le SIRH, en cas de failles de sécurité et de violation de données, le prestataire doit le notifier à l’entreprise traitante sans délai, cette dernière devant le notifierà la CNIL dans les 72 heures.
Les solutions :
Retravailler le contrat avec le prestataire pour inclure toutes les clauses de coresponsabilité et de sécurité. Bien encadrer les traitements liés à la maintenance si effectuée par le prestataire. Préciser que ce dernier doit informer immédiatement l’entreprise dès qu’il a connaissance d’une faille de sécurité (il a la responsabilité technique, représentant la première ligne en cas de faille).
Spécialiste de la formation & RGPD
Prendre RDV
CABINET DE PARIS
CABINET DE LAUSANNE
Vous pouvez accéder le replay du webinar « Bien choisir son SIRH en 2021 » en cliquant sur le bouton ci-dessous :