RGPD et RH : les grands principes

Depuis le 25 mai 2018, le RGPD a été mis en place dans toute l’Europe. Ce nouveau règlement a fortement impacté les services RH. En avril 2020, la CNIL a adopté le référentiel relatif aux traitements de données personnelles mis en œuvre aux fins de gestion des ressources humaines. Pour vous aider à savoir si vous êtes en conformité après deux ans de mise en pratique, Fortify fait un rappel des grands principes du RGPD appliqué aux Ressources Humaines.

RGPD et recrutement

Un processus de recrutement nécessite la récolte de nombreuses informations sur les candidats (CV, lettre de motivation, coordonnées…). Ainsi, pour rester en conformité avec le RGPD, il convient de respecter certains principes :

  • Le consentement au traitement des données

Pour ajouter un candidat au sein de votre vivier, vous devez d'abord recueillir son consentement pour le recueil de ses données. En clair, lorsque le candidat postule, il doit donner son accord explicite à la conservation de ses données.

Attention, vous ne pouvez demander que les données strictement nécessaires au process de recrutement. Évitez donc de demander des informations personnelles ou des documents non nécessaires en phase de recrutement (tels que la carte d’identité par exemple).

  • Le droit à la consultation des données 
Les candidats doivent pouvoir consulter les informations stockées les concernant (nom et prénom, email, CV, etc.). L’idéal est de prévoir un espace candidat sur votre site carrière auquel ils pourront accéder à l'aide d'un mot de passe et modifier leurs données personnelles facilement.
  • Le droit à l’oubli
Les candidats doivent pouvoir demander la suppression intégrale de leurs données. Là encore, le mieux est de prévoir un espace candidat en ligne dans lequel les candidats pourront facilement supprimer leur compte et leurs données. Vous pouvez également mettre en place une adresse mail dédiée.
  • Une conservation limitée des données 
    Les données ne peuvent être conservées que pendant une durée limitée, définie en amont et en fonction de la finalité de chaque traitement. Dans le cadre d’un recrutement, les données ne peuvent être conservées plus de 2 ans à compter du dernier contact avec le candidat. Vous devez impérativement préciser aux candidats combien de temps leurs données seront conservées dans votre vivier candidats. 
  • Sécurité et confidentialité des données 
Il est indispensable d’assurer la sécurité des données que vous stocker sur les candidats. Celles-ci doivent être stockées dans des serveurs sécurisés et situés au sein de l’Union Européenne.

RGPD et gestion de la paie

Lorsqu’un salarié est embauché, l’entreprise dispose de nombreuses informations, notamment ses coordonnées personnelles, son RIB, son numéro de sécurité sociale… Seules les personnes habilitées doivent pouvoir accéder aux fiches de paie de vos salariés.

Le logiciel de paie est le meilleur moyen de garantir la protection des données de vos collaborateurs. Les logiciels en mode SaaS, telles que Silae, sont régulièrement mis à jour pour rester en conformité avec le RGPD. Les données liées à la paie de vos collaborateurs sont ainsi sécurisées et hébergées dans des secteurs sécurisés, et totalement confidentielles.

Attention ! Il faut noter que le transfert de la fiche de paye en Pièce Jointe d’un email est strictement interdit.

Vous pouvez opter pour un coffre-fort numérique afin de transmettre les bulletins de paye à vos collaborateurs de façon dématérialisée. Ainsi, les contrats de travail, les pièces relatives à vos salariés et bien évidemment les bulletins de paie sont stockés en toute sécurité dans le coffre-fort numérique.

Vos collaborateurs bénéficient d’un espace sécurisé à vie pour stocker leurs fiches de paye et documents personnels.

Attention cependant, il faut opter pour un coffre-fort numérique qui dispose de la certification NF Logiciel Coffre-fort numérique délivrée par l’Afnor Certification.

RGPD et données personnelles des salariés

Le Règlement général sur la Protection des Données (RGPD) impose aux entreprises de tenir "un registre des traitements de données". Celui-ci doit regrouper l’ensemble des informations personnelles relatives aux salariés qui sont récoltées. Il doit préciser quelles sont les données recueillies, et leurs finalités. Le registre doit préciser les personnes autorisées à y accéder et les dispositifs de protection pour assurer leur confidentialité.

Les données personnelles des salariés sont conservables pendant la durée de leur présence dans l’entreprise. Une fois qu’un employé quitte l’entreprise, ses données personnelles ne peuvent pas être conservées indéfiniment. Une durée de 5 ans est admise pour les bulletins de paie et les documents ayant servi au contrôle du temps de travail par exemple.

En ce qui concerne la collecte des informations personnelles, le consentement des salariés n’est pas toujours requis. C’est le cas pour les données permettant la gestion de la paie, l’exécution du contrat de travail et le contrôle de l’activité par exemple.

RGPD et COVID-19

stop-covid-19

Dans le contexte sanitaire actuel lié à la pandémie de COVID-19, la collecte des données personnelles de santé par l’employeur est un moyen complémentaire pour lutter contre la COVID-19. Cependant, celle-ci ne doit pas porter atteinte à la vie privée des collaborateurs.

La collecte de données de santé doit :

  • répondre à une finalité déterminée en amont ;
  • être strictement nécessaire au regard de la finalité poursuivie ;
  • se faire uniquement pour la période fixée pour atteindre l’objectif fixé.

Ainsi, il est par exemple interdit d’imposer aux salariés de relever leur température, de pratiquer des enquêtes individuelles pour détecter les risques d’exposition, de faire circuler des questionnaires médicaux à ses salariés… Les logiciels de gestion des RH ne doivent pas non plus consigner d’informations relatives à l’état de santé de leurs salariés.

L’employeur peut cependant centraliser les informations relatives à la santé de ses salariés au sein d’un registre dédié à la gestion de la crise COVID-19. Cependant il faut prouver que la collecte des données est bien nécessaire à l’objectif poursuivi. En cas de signalement, un employeur peut par exemple consigner la date et l’identité de la personne suspectée d’avoir été exposée ainsi que les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail...). L’employeur devra informer toutes les personnes concernées de l’existence de ce fichier.

Vous avez besoin d’aide pour faire le point et assurer votre conformité RGPD ?

Je demande un diagnostic RGPD RH