RGPD : une année dans la jungle des données RH

Il y a un an, une avalanche de notifications relatives à la gestion de nos données privées déferlait sur nos adresses email. L'entrée en application du Règlement général sur la protection des données (RGPD) au 25 mai 2018 imposait sa vague de remise à plat. Opérateurs téléphoniques, boutiques en ligne, banques... Chaque entreprise devait informer ses clients sur les données personnelles collectées. Ses clients oui, mais pas seulement.

C'est ainsi que les ressources humaines des entreprises ont découvert, parfois tardivement, qu'ils devaient revoir intégralement la façon dont ils traitent les données personnelles collectées auprès de leurs salariés. "Les RH devaient normalement être déjà habitués à la réglementation sur la protection des données avec la loi Informatique et libertés de 1978, explique Eric Delisle, chef du service des questions sociales et RH de la Commission nationale informatique et libertés (Cnil). Pourtant, certains services RH ont semblé découvrir cette question en 2018. Il est probable que l'évolution des montants des sanctions a joué un rôle dans cette prise de conscience".

Au programme, des heures de travail de mise en conformité, entre information des salariés, recensement des données et révision des processus internes.

Pour s'atteler au projet RGPD, les RH ont souvent dû jouer collectif. "La protection des données n'est pas un sujet à travailler en silo, insiste Rémi Malenfant, conseiller en transformation RH pour PeopleDoc. Elle concerne les RH, mais aussi les équipes juridiques et les services informatiques. Les données personnelles font bien sûr déjà partie du métier des RH, et ils savent assurer la confidentialité des données sensibles pour la paie par exemple. Mais ce mode de travail permet d'identifier des données auxquelles ils ne pensaient pas, et qu'ils collectaient sans vraiment y réfléchir."

 Nous avions tendance à conserver par précaution tout un tas de données

Les entreprises se sont ainsi attelées à la cartographie précise des informations récoltées sur leurs salariés. Dans les établissements de la Eovi MCD Mutuelle, on est encore en plein travail de mise en conformité, explique la DRH Christel Babut. "Nous travaillons depuis un an à la révision de nos process. Nous avons corrigé nos listes de documents, nos formulaires de renseignement, les informations portées dans les contrats de travail... Nous avions tendance à conserver par précaution tout un tas de données, en se disant qu'elles pourraient toujours servir. La réflexion est désormais inversée, et on se demande de quoi avons-nous réellement besoin." L'entreprise a ainsi cessé, lors des recrutements, de demander aux candidats leur numéro de sécurité sociale. Cette donnée n'est aujourd'hui collectée que lorsque le candidat est embauché.

Gestion du personnel

La gestion des ressources humaines (ou gestion du personnel) recouvre plusieurs domaines intéressant les RH :

- Le recrutement et la gestion de carrière (dont la formation professionnelle est un pan important) ;
- La gestion administrative du personnel ;
- La paie et la politique de rémunération et des avantages sociaux ;
- Les relations sociales.

Découvrir tous les contenus liés

Le RGPD va jusqu'à irriguer la façon de communiquer au sein des RH. "Notre direction des ressources humaines comprend en tout cinquante personnes, réparties sur différents sites, ce qui implique forcément le transit des données des salariés, indique Christel Babut. Notre façon de faire a donc évolué. Par exemple, nous avions l'habitude d'envoyer par mail un fichier à toutes les directions dans le cadre de notre campagne annuelle d'augmentations individuelles. Cette pièce jointe comprenait tous les noms des collaborateurs, ainsi que leur évolution de rémunération sur cinq ans. Cette année, nous avons créé pour la première fois des répertoires sécurisés, accessibles à seulement certaines personnes sur présentation d'un mot de passe."

L’appel expert répond aux questions juridiques des professionnels RH

Je télécharge gratuitement

Pour les entreprises multinationales, cette phase de réécriture a pu entraîner quelques heurts. Maître Camille-Antoine Donzel, avocat d'entreprise pour le cabinet Fromont-Briens, a été confronté à plusieurs reprises à des problèmes liés au transfert international de données de salariés. "Nos clients nous demandent souvent s'ils ont le droit d'envoyer certaines données à leurs maisons-mère. Cela pose particulièrement problème lorsque ces maisons-mère sont américaines, puisque la Cnil considère que les Etats Unis ne présentent pas un niveau de sécurité suffisant pour les données personnelles. Il faut alors prendre des précautions et envoyer les données accompagnées de clauses contractuelles qui garantissent la confidentialité." Sans compter le fait que le traitement de certaines données a trait à des différences culturelles. "L'un de nos clients était confronté à sa maison-mère américaine qui souhaitait obtenir les données sur la "race" des salariés employés en France, poursuit l'avocat. Aux Etats-Unis, cette donnée est traitée pour assurer des quota de diversité dans les entreprises, mais en France il est en principe interdit de la collecter, sauf exceptions très strictement appréciées, et difficilement justifiables au regard de la relation employeur-salarié."

Une fois l'inventaire des données corrigé, les RH ne sont pas encore tirées d'affaire. Ne collecter que ce qui est nécessaire implique aussi de supprimer les données lorsqu'elles ne sont plus utiles. C'est pourquoi le RGPD impose un délai maximal de conservation qui doit être prévu pour chaque type de données. Ici encore, si le principe est simple, la mise en application peut s'avérer plus complexe.

"J'ai été confronté au cas d'un groupe industriel qui souhaitait conserver durant cinquante ans les données des salariés qui ont travaillé sur ses différents sites, raconte Florent Gastaud, délégué à la protection des données et fondateur de Mon DPO Externe. Le but était de garder en main les dossiers des salariés en cas d'action judiciaire liée à l'amiante, ce type d'action pouvant être intenté pendant cinquante ans. Il a fallu prouver que cette durée de conservation n'était pas disproportionnée au regard de la probabilité d'une action en justice."

On met en place un règle qui supprime le CV deux ans après son entrée dans le système

Le respect des durées de conservation est en pratique facilité par l'informatique. Bon nombre de services RH ont ainsi mis en place des règles de purge automatique des données passée une certaine date. Le hic : le papier n'a pas encore totalement disparu. Nombreuses sont les entreprises qui utilisent encore - du moins partiellement - le format papier. "Si on gère les candidatures sur papier, chaque CV doit être vérifié manuellement pour déterminer, à partir de sa date de réception, la date à laquelle il doit être détruit, explique Florent Gastaud (Mon DPO Externe). Alors qu'en cas de conservation informatique, on met en place un règle qui supprime le CV deux ans après son entrée dans le système."

De là à affirmer que la numérisation est la clé pour réussir sa mise en conformité RGPD, il n'y a qu'un pas... Que les experts de People Doc n'hésitent pas à franchir. "La meilleure façon de savoir où est la donnée, qui y a accès, et quand la supprimer est de la conserver sous forme dématérialisée, assure Rémi Malenfant. Il y a encore des entreprises dans lesquelles les bulletins de salaire sont déposés dans des banettes ! Pas terrible pour la confidentialité..."

Pour chapeauter tous ces changements et s'assurer de la protection des informations personnelles, le RGPD impose dans les grandes entreprises la mise en place d'un délégué à la protection des données (DPO).

Les personnes qui ont la casquette de DPO n'hésitent plus à le mentionner dans leur titre 

Là où son prédécesseur, le Correspondant informatique et libertés (CIL), était facultatif, le DPO acquiert ses lettres de noblesse. "Les choses ont énormément évolué, se réjouit Fernanda Gonçalvez, data privacy manager chez People Doc. Le CIL était un peu une fonction « placard », il était souvent oublié dans son coin, personne ne l'écoutait. Avec le RGPD, le DPO se rapproche des directions générales, cela devient un poste stratégique et convoité. Les personnes qui ont la casquette de DPO n'hésitent plus à le mentionner dans leur titre. C'est important, et on ne l'entendait pas avant."

"Le DPO n'est pas seulement un profil stratégique, ajoute Eric Delisle (Cnil), il doit avoir certaines compétences requises par le RGPD : indépendance, qualités juridiques et techniques, mais également relationnelles. Il est délicat de trouver ce type de profil, c'est pourquoi c'est une fonction qui est souvent externalisée. L'offre de formation en protection des données s'est beaucoup étoffée avec l'arrivée du RGPD. Parallèlement, l’enseignement en matière de protection des données aux professionnels du droit s’est généralisé qu’il s’agisse de l'école nationale de la magistrature, qui vise à former les futurs juges, ou au sein des barreaux d'avocats".

Une fois que les entreprises ont atteint un rythme de croisière en terme de gestion des données, le plus gros de la charge de travail est passé... A condition qu'aucun salarié ne décide de mettre en oeuvre son droit d'accès à ses données personnelles. Ce droit, considérablement renforcé par le RGPD, représente une énorme charge de travail pour les RH : le salarié doit pouvoir obtenir la totalité des données collectées sur lui par son entreprise, sur simple demande. Il dipose également d'un droit de suppression de ces données.

 On commence à voir arriver les demandes de droit d'accès dans les contentieux

Les RH ne sont pour l'instant pas submergées par ce type de demande. Et heureusement, car elles semblent y être peu préparées. "C'est une tâche qui aujourd'hui est fastidieuse car peu de process ont été mis en place, indique Camille-Antoine Donzel (cabinet Fromont-Briens). Mais on commence à voir arriver ces demandes dans les contentieux. Par exemple, un salarié licencié qui demande un accès à chaque document comportant son nom, y compris les emails. A mon avis, ce type de demande va continuer à augmenter, principalement dans des contextes de relations conflictuelles avec l'employeur."

"On retrouvait déjà les règles de protection des données au sein des procès prud'hommes, ajoute Florent Gastaud (Mon DPO Externe). C'était notamment le cas lorsque le salarié rejetait la légitimité d'un système de géolocalisation ou d'horodatage utilisé par l'employeur pour prouver le non-respect des horaires. Le salarié fait alors jouer le fait que l'employeur a utilisé une preuve contre lui basée sur un traitement de données illicites. La médiatisation de la protection des données relance ce type de grief dans les procès entre salariés et employeurs. Aujourd'hui, les syndicats conseillent directement aux salariés d'exercer leur droit d'accès dans le cadre de leur défense." Chez Eovi MCD Mutuelle, une quinzaine de demandes de ce type (sur 2 000 salariés) ont été dénombrées, dont quelques cas sont en effet corrélés avec une procédure contentieuse.

Les équipes RH doivent rester vigilantes même une fois passé l'essentiel de la mise en conformité. Les entreprises doivent rester à tout moment à jour en termes de  protection des données. La Cnil l'a en effet annoncé : le temps de la transition est terminé, et les contrôles effectifs peuvent maintenant commencer.