RGPD : remue-ménage dans les données RH

Publié le - Mise à jour le

Retour aux actualités

Visuel de communication de l'association française des correspondants à la protection des données (AFCDP).

 

Le règlement général de protection des données imposé par l'Union européenne entre en application la semaine prochaine. Les services RH, parfois peu conscients de leur responsabilité sur les données personnelles de leurs salariés, sont inégalement préparés. Pourtant, c'est une bonne opportunité pour revoir sa façon de travailler, et poser de bonnes bases pour l'avenir.

Les données de plusieurs dizaines de millions d’utilisateurs de Facebook récupérées par une entreprise spécialisée dans l’influence politique. Révélé début avril 2018, le scandale de Cambridge Analytica n’est qu’une illustration de plus des risques liés à la circulation des données personnelles. Face aux organismes qui collectent et gèrent ces données, la méfiance du public se développe.

Dès le 27 avril 2016, l’Europe avait décidé de réagir, en adoptant un règlement général sur la protection des données (RGPD). Ce texte encadre la collecte de données personnelles par toutes les personnes morales - publiques ou privées - situées sur le territoire de l’Union européenne. Les nouvelles règles sont d’application immédiate : le 25 mai 2018, elles entreront directement en application dans les Etats-membres, sans besoin de texte d’application.

Le projet de loi pour la protection des données personnelles a été adopté définitivement par l'Assemblée nationale lundi 14 mai. Il adapte la loi française Informatique et libertés de 1978 afin de la rendre conforme aux règles du RGPD. Elle élargit la liste des exceptions à l'interdiction de traiter des données sensibles. Un employeur a en particulier la possibilité de mettre en oeuvre des traitements de données biométriques (ADN, empreinte digitale...) "strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires".

Loin de concerner uniquement les données des clients et utilisateurs - et donc les services marketing et commerciaux - le RGPD vise tous les traitements de données personnelles. Cela inclut les données des salariés et des candidats au recrutement qui sont gérées par les services de ressources humaines. En cas d'infraction au règlement, les sanctions encourues sont lourdes : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.

Panique à bord

Une partie importante de la fonction RH consiste à récolter, classer et archiver les données relatives aux personnes qui entrent dans les effectifs de l’entreprise : noms, prénoms, adresse postale, nombre d’enfants, numéro de téléphone, situation familiale, numéro de sécurité sociale… Les données relatives à de simples candidats à un poste sont également traitées et archivées par les ressources humaines. Cette collecte automatique est devenue presque un réflexe.

Le RGPD impose aujourd'hui de tout remettre à plat : l'entreprise doit établir un registre des traitements de données qu'elle orchestre, et faire le tri dans les données collectées auprès des salariés : chaque information demandée doit avoir une finalité déterminée, n'être communiquée qu'à des destinataires précisément identifiés, être conservée pour une durée limitée... En outre, le salarié doit toujours être informé des données collectées, avoir accès lorsqu'il le souhaite aux informations détenues à son sujet, et pouvoir exercer efficacement son droit de rectification et son droit à l'oubli.

Les RH sont démunis face à un texte lourd et complexe

De quoi faire tourner la tête de certaines entreprises. "Je rencontre beaucoup de responsables RH, principalement dans les entreprises de taille moyenne, qui sont totalement démunis face à ce texte lourd et complexe, raconte Emilie Meridjen, avocate spécialiste en droit du travail. J'ai été énormément sollicitée, en particulier ces dernières semaines, pour intervenir dans des conférences afin d'expliquer à mes clients les principes qu'ils devront appliquer." Même sentiment pour Bruno Rasle, délégué général de l’AFCDP, association française des correspondants à la protection des données personnelles. "Cela fait une bonne année que les choses bougent, mais tout s'est accéléré depuis quelques mois. On nous sollicite beaucoup, notamment afin de sensibiliser un public de DRH."

Cette panique ne surprend pas Wafae El Boujemaoui, cheffe du service des questions sociales et RH de la Commission nationale informatique et libertés (Cnil). "Beaucoup d'entreprises découvrent le droit de la protection des données personnelles avec le RGPD. Pourtant les principes de fond ne sont pas nouveaux, et doivent être mis en oeuvre en priorité par les entreprises - et notamment leurs services RH - depuis 1978."

Les RH persuadés de déjà bien faire

En effet, si le RGPD est révolutionnaire dans certains pays européens, ce n'est pas le cas en France. Dans l'Hexagone, les règles du RGPD ne font que prolonger les grands principes déjà présents dans la loi Informatique et libertés, qui s'applique depuis 1978. "L'employeur devait déjà réfléchir aux finalités du traitement, à la pertinence des données collectées, etc. Mais ce n’était souvent pas le cas en pratique, explique Wafae El Boujemaoui (Cnil). Le fait de devoir déclarer le traitement auprès de la Cnil déchargeait en quelque sorte les employeurs de leur responsabilité : ils considéraient que puisqu’ils avaient déclaré, ils respectaient la règlementation." Un constat que confirme Bruno Rasle. "Nos collègues des ressources humaines sont souvent surpris de nous voir arriver pour discuter avec eux de la protection des données des salariés. Ils se sont auto-persuadés que puisque le fonctionnement de leur service est ancien, il doit forcément être conforme à la loi."

Les RH épinglées par la Cnil

Selon le rapport d'activité 2017 de la Cnil, 16% des plaintes à la Cnil concernent les ressources humaines : vidéosurveillance  excessive, géolocalisation, refus de communication du dossier professionnel... Ces demandes proviennent de salariés, de syndicats ou d’inspecteurs du travail. La Cnil recense parmi les "tendances émergentes" de plaintes celles liées à l’accès aux messageries professionnelles des salariés absents ou ayant quitté l’entreprise.

Pourtant, le traitement des données du personnel pose déjà un certain nombre de problèmes. Selon le rapport d’activité 2017 de la Cnil (publié le 10 avril 2018), 16 % des plaintes déposées auprès de la Cnil concernent les ressources humaines (voir encadré ci-contre). Certains faux-pas reviennent souvent, explique Wafae El Boujemaoui. "L'une des erreurs les plus souvent commises est la collecte de données non pertinentes par l'entreprise, souvent au moment du recrutement. Les RH collectent parfois, par exemple, le numéro de sécurité sociale du candidat, alors que cette donnée n’est nécessaire que pour les salariés de l’entreprise."

Selon Bénédicte Ravache, secrétaire générale de l’ANDRH, les erreurs en matière de gestion des données personnelles sont surtout liées à une digitalisation accrue des processus RH ces dernières années. "Les RH ont une culture de la confidentialité des données. Pour autant, la complexification des échanges d’information rend plus compliquée la gestion des données des salariés, principalement dans les grandes structures. On est souvent loin du simple mot de passe pour accéder à un fichier Excel ! insiste-t-elle, avant de confier : sans compter que nous avons eu à mettre en œuvre une prolifération de nouveautés au rythme des dernières réformes…"

Certains ont pris de l'avance

Qu'est-ce qui rend une entreprise mieux armée qu'une autre sur la question du traitement des données de ses salariés ? La taille et le secteur avant tout. "J'ai rencontré un dirigeant de PME du secteur de la construction. Il n'avait jamais entendu parler de protection des données, raconte Thibault Lancrenon, avocat spécialiste du droit de la propriété intellectuelle. Ces entreprises considèrent souvent que le traitement des données des salariés est légitime, qu'il est une contrepartie du salaire versé. Les entreprises plus avancées sur le sujet du RGPD sont celles dont la valeur ajoutée est liée au maniement des données : courtiers d'assurance, banque, etc."

Certaines entreprises ont en effet pris de l'avance, en désignant il y a plusieurs années un correspondant informatique et libertés (CIL) - une nomination prévue par la loi, mais facultative. C'est le cas de Groupama, qui a désigné un CIL depuis 2007, et du groupe international Randstad (spécialiste du recrutement) depuis 2006. Marie Eymond, responsable audit et contrôle interne du groupe Randstad en France, a été désignée pour accomplir ces fonctions. "Nous traitons les données d’une grande quantité de candidats, intérimaires, permanents… C’est pourquoi le groupe a développé depuis plus de dix ans des bonnes pratiques, notamment en matière de transparence sur les informations collectées. Le RGPD n’est pas une nouveauté pour nous, cela a simplement permis de consolider un processus déjà en place."

Un travail long et méthodique

Reste que pour toutes les entreprises, l'arrivée du RGPD doit être une opportunité de réinterroger les process RH. "Nous avons mis un certain temps à comprendre les règles, et savoir par où commencer, reconnaît Christian Verhague, directeur des opérations RH du groupe BPCE. Nous avons commencé par le plus gros du travail : établir le registre des traitements imposé par le RGPD. Auparavant, nous avions l'habitude de faire des déclarations simplifiées auprès de la Cnil pour chaque nouveau traitement. Maintenant les informations à lister sont beaucoup plus détaillées. Dans le cadre d’échanges avec d’autres entreprises ou avec des consultants, nous avons été étonnés de voir que certains services RH avaient recensé 50 traitements, d'autres un bon millier !".

Le RGPD a entraîné un travail lourd pour revoir les durées de conservations

Chez Groupama, le registre de traitement avait déjà été mis en place depuis plusieurs années du fait de la désignation d'un CIL. Le véritable challenge était ailleurs. "Ce qui a été le plus long pour nous c'est de remettre à plat les durées de conservation des données des salariés et candidats, explique Mireille Deshayes, adjointe du correspondant Informatique et libertés (CIL) de Groupama. Le problème c'est que souvent, nos services RH conservent de gros stock de données papier, notamment des dossiers très anciens. Or le RGPD protège les données quel que soit leur support ! Cela a donc entraîné un travail assez lourd pour gérer toutes nos durées de conservation et programmer les destructions des informations dès lors qu'elles ne sont plus nécessaires."

La limitation de la durée de conservation des données personnelles ouvre de nouvelles pistes pour les logiciels RH. Ainsi, Cornerstone OnDemand, éditeur international de logiciels RH, a adapté sa plateforme Saas pour permettre la purge automatique de certaines données ou leur anonymisation. Mais c'est bien à chaque entreprise qu'il revient de fixer et justifier la durée de conservation qu'elle choisit d'adopter pour chaque type de données. "En principe, en France un salarié qui quitte son entreprise a entre un et cinq ans pour se retourner contre cette dernière, rappelle José Rodriguez, délégué à la protection des données (DPD) pour Cornerstone OnDemand. On peut donc choisir de supprimer les données à ce moment-là. Mais selon l'activité de l'entreprise ou la nature du poste, les données peuvent valablement être conservées plus longtemps. Par exemple, dans l'industrie pharmaceutique, on doit pouvoir identifier les personnes ayant participé à la production de médicaments pour une durée pouvant atteindre 20 ans."

Un enjeu pour le climat social

A l'heure de la suspicion autour de la manipulation des données personnelles, l'entreprise doit rassurer ses salariés sur l'utilisation qu'elle fait de leurs données. "Les données personnelles des salariés sont un sujet sensible, avertit Bénédicte Ravache (ANDRH). On le voit en particulier au sujet du prélèvement à la source, qui suscite beaucoup de réactions. Le RGPD doit être l'occasion pour une entreprise de se poser les bonnes questions afin de bâtir une relation de confiance avec ses salariés. Et ainsi avancer sereinement dans la nouvelle ère du digital."

"Beaucoup de RH que je rencontre craignent la multiplication des contentieux avec les salariés au sujet de leurs données personnelles, fait remarquer José Rodriguez (Cornerstone OnDemand). Va-t-on assister à une explosion des demandes des salariés au sujet de leurs données personnelles ? Je ne pense pas. En revanche, je suis plutôt convaincu qu'un volet sur la protection des données personnelles sera souvent ajouté à l'occasion des contentieux prud'homaux. C'est une affaire à suivre."

Certaines actions en faveur de la protection des données personnelles peuvent être mises en avant pour favoriser l'image de l'entreprise. C'est le cas notamment lorsqu'une entreprise articule ces actions dans le cadre de sa politique diversité. Randstad a ainsi retravaillé son logiciel de saisie des informations relatives aux candidats.

Nos recruteurs ne peuvent pas saisir certains mots clés au sujet des salariés : "grossesse", "cancer"...  

"Beaucoup d'entreprises se font épingler en raison des mentions saisies dans la « zone de libre commentaire » dans leurs fiches de recrutement, rappelle Marie Eymond. Nous avons mis en place des outils qui bloquent la saisie de certains mots-clés dans ces zones : « prière », « alcool », « cancer », « grossesse », etc. Nos consultants recruteurs n'ont pas la possibilité de saisir ces informations dans notre base de données."

Les entreprises qui prennent le temps de trier les données qu'elles collectent peuvent aussi espérer des gains en terme de productivité. "Détenir uniquement des informations fiables et non-obsolètes est un avantage pour une entreprise qui souhaite bâtir une stratégie RH, souligne Wafae El Boujemaoui (Cnil) Elle peut par exemple proposer des formations mieux adaptées aux salariés."

Un travail de pédagogie

Les salariés font l'objet d'une collecte de données, mais ils peuvent également collecter eux-même les données de clients dans le cadre de leur activité. Chez Randstad, un important travail de communication sur ce sujet a été nécessaire. "Nous avons eu à répondre à beaucoup de questions de nos salariés sur la nature des informations qu’ils sont susceptibles de transmettre au client au sujet des intérimaires, explique Marie Eymond. Plusieurs actions de communication ont été menées ces douze derniers mois : modules de sensibilisation, quiz, vidéo... ". Plus étonnant, le groupe a du faire oeuvre de pédagogie auprès de ses propres clients. "Les entreprises utilisatrices pensent parfois que nous devons leur rendre des comptes au sujet de la protection des données de nos intérimaires ou CDD, fait remarquer Marie Eymond. Or nous ne sommes pas un sous-traitant, mais un responsable de traitement autonome !"

Groupama a également axé son action sur la formation des salariés. "Tous nos salariés avaient suivi un e-learning de vulgarisation, sous l'empire de la loi Informatique et libertés de 1978, explique Mireille Deshayes. Nous allons refaire une formation à destination de tout le personnel. C'est important qu'ils aient les bons réflexes car ils manipulent quotidiennement les informations des clients."

Des règles encore en construction

Ce qui est certain, c'est que la conformité des entreprises en matière de données personnelles ne sera pas figée au 25 mai 2018. D'abord parce que la démarche d'amélioration doit être continue. Ensuite parce que les contours des obligations sont relativement flous pour l'instant. Les travaux de la Cnil dans les prochains mois, notamment à travers ses contrôles dans les entreprises, devraient impliquer des évolution du dispositif. "Nous avons priorisé nos travaux pour mettre en place les éléments les plus sensibles afin d’être en accord avec le règlement au 25 mai 2018, admet Christian Verhague (BPCE). Nous évoluerons ensuite pour aller plus loin sur la protection des données. Nous attendons en particulier les futures communications de la Cnil, ainsi que les échanges avec les autres entreprises afin d’améliorer notre dispositif".

De son côté, la Cnil ne semble pas programmer de contrôles accrus, mais souhaite continuer à accompagner les acteurs, selon sa porte-parole Wafae El Boujemaoui. "Nous avons publié un grand nombre d'outils gratuits sur notre site pour aider les entreprises à se mettre en conformité : des fiches pratiques, un logiciel d'analyse d'impact, un guide pour les TPE-PME... Nous avons renforcé depuis cinq ou six ans l'accompagnement des entreprises, et nous continuerons à le faire, en particulier auprès des TPE, PME et start-ups".

Dans les prochaines années, les règles sur la protection des données devraient être étoffées en France. Le RGPD prévoit qu'au sein de chaque Etat-membre, l'Etat ainsi que les conventions collectives peuvent adopter "des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail" (article 88).

Pénurie d'experts en protection des données

Afin de gérer au mieux la problématique de la protection des données et anticiper son évolution, il est essentiel de désigner une personne chargée de ces questions. Si la désignation d'un correspondant informatique et libertés (CIL) était facultative, celle de son successeur, le délégué à la protection des données (DPD ou DPO pour data privacy officer), devient obligatoire pour certaines entreprises qui traitent un grand nombre de données personnelles de manière systématique ou qui manient des données sensibles. En dehors des cas de désignation obligatoire, la Cnil encourage tout de même la désignation d’un délégué à la protection des données, en interne ou en externe.

Les experts ne sont pas encore en nombre suffisant face aux besoins du marché

Mais le recrutement d'experts en protection des données pourrait s'avérer difficile, car ces profils se font rares. Cette pénurie est déjà constatée chez Randstad. "Les profils experts en matière de protection des données ne sont pas encore en nombre suffisant au regard des besoins du marché" explique Marie Eymond. La Cnil estime à 80 000 le nombre de responsables de traitements qui seraient aujourd'hui concernés par l'obligation de désigner un DPO. 30 000 DPO devraient être désignés, alors que la Cnil recensait seulement 5 000 CIL en France.

L'association française des correspondants à la protection des données voit quant à elle exploser son nombre d'adhérents. "Notre conseil d'administration fait face à la plus grosse demande d'adhésion que l'on ait jamais vu, se réjouit Bruno Rasle, le délégué général. Nous allons atteindre 3 500 membres, alors que nous n'étions que 2 000 l'an passé !".

Disposer d'un expert sur les questions de protection des données pourrait bien s'avérer plus indispensable encore dans les années à venir, avec la digitalisation de la fonction RH.

La fonction RH est en train de se transformer

José Rodriguez (Cornerstone OnDemand) a présenté fin avril sa thèse intitulée "Conformité des algorithmes Machine Learning avec le RGPD". "La fonction RH est en train de se transformer. De nouvelles procédures de traitement des données émergent : programmes d'apprentissage automatique (intelligence artificielle), big data, etc. On crée des algorithmes pour décider qui il faut recruter, à qui il faut donner une augmentation... On cherche de plus en plus à tirer la puissance de la machine pour améliorer les procédures." Un nouvel enjeu de taille pour les RH, qui devront manipuler de nouveaux traitements de données plus complexes, et évaluer précisément leur impact sur la protection des données des salariés.

 

Laurie Mahé Desportes
Rédactrice pour ActuEL RH

Formations qui pourraient vous intéresser

tealium