Le règlement de l'UE (Union européenne) 2016/679, également connu sous le nom de Règlement général sur la protection des données, est entré en vigueur le mai 25, 2018 après une période de transition de deux ans. Le règlement exige que toutes les entreprises opérant dans l'Union européenne adoptent de nouvelles politiques, procédures et pratiques dans la gestion des données personnelles de leurs clients, utilisateurs, fournisseurs et travailleurs.
Le RGPD a une incidence massive sur les services des ressources humaines, car ces derniers doivent adapter leurs processus afin de se plier aux exigences de cette réglementation.
L’objectif du RGPD est de normaliser et de renforcer les droits des résidents européens en ce qui concerne leurs données personnelles. Cela signifie que toute entreprise traitant les données personnelles de résidents de l’UE doit se conformer aux nouvelles normes en matière de transparence, de sécurité et de responsabilité.
Quelles sont les conséquences du RGPD sur les ressources humaines ?
Le Règlement général sur la protection des données impose aux entreprises de stocker uniquement les données essentielles, précises et à jour des salariés. De plus, les entreprises doivent clairement communiquer comment, où et pendant combien de temps les informations personnelles d'un employé seront stockées. De la même manière, les employés peuvent utiliser leurs informations à tout moment, ainsi que demander une copie des données stockées et ordonner leur suppression.
Les équipes RESSOURCES HUMAINES doivent comprendre les risques et les responsabilités liés au traitement des informations des employés afin d'éviter les sanctions, car le non-respect de ces règles peut entraîner des amendes allant jusqu'à 20 millions d'euros, soit 4 % du chiffre d'affaires annuel.
Facteurs clés du RGPD sur les ressources humaines
Pour se conformer au RGPD, les équipes de ressources humaines doivent adapter et améliorer leurs processus de gestion des employés afin de garantir les droits de ces derniers et de respecter les consignes en matière de protection des données.
Voici les facteurs essentiels que les ressources humaines doivent prendre en considération :
1Collecte de données personnelles
Le recueil et le traitement de données personnelles sont légitimes, mais doivent se limiter aux informations correspondant à l’exécution du contrat de travail (par exemple, les systèmes d’horaires et d’assiduité) ou aux informations nécessaires au respect d’une obligation légale (par exemple, la gestion de la paie).
Un consentement est nécessaire lorsqu’il n’existe aucun autre fondement juridique validant le traitement des données (par exemple, un compte de messagerie personnel.
2. Droit des employés à être informés
Les entreprises sont tenues d’informer les employés de la finalité et du fondement juridique du traitement des données personnelles et de leur durée de conservation. Ces informations doivent être fournies au moment du recueil des données personnelles de l’employé.
3. Nouveaux droits pour les employés
Le Règlement général sur la protection des données a introduit de nouveaux droits pour les employés, tels que le droit à la portabilité des données, qui permet aux employés d'obtenir et de réutiliser leurs données personnelles à leurs propres fins dans différents services. Elle réglemente également des droits spécifiques, tels que le droit à l'oubli, qui permet aux employés de demander la suppression de leurs données à caractère personnel, et le droit de rectification, qui donne aux employés le droit d'obtenir la rectification de données à caractère personnel inexactes.
Le droit de s'opposer aux activités de profilage empêche les entreprises de prendre des décisions fondées uniquement sur un traitement automatisé, ce qui aura un impact important sur la mise en œuvre de logiciels d'intelligence artificielle dans le domaine des ressources humaines.
4. Délégué à la protection des données
Les entreprises doivent nommer un délégué à la protection des données (DPD) qui agit de manière indépendante et dispose des ressources nécessaires à l'exercice de ses fonctions. Le DPD est chargé de contrôler la politique de protection des données de l'entreprise et sa mise en œuvre afin d'assurer la conformité avec le Règlement général sur la protection des données.
5. Évaluations d’incidence et atteintes à la sécurité
Les entreprises doivent procéder à des analyses d'impact afin d'identifier les opérations qui présentent un risque important pour les droits des travailleurs ou une atteinte à la sécurité. En cas de violation de données à caractère personnel, les entreprises doivent informer les autorités au plus tard 72 heures après l'identification.
6. Télématique et codes de conduite
Pour s'adapter aux nouvelles exigences en matière de protection des données, les entreprises doivent examiner leurs politiques internes et leurs codes de conduite concernant l'utilisation de la télématique. Les entreprises doivent également adapter leur contenu à l'arrêt de la Cour européenne des droits de l'homme (CEDH), ainsi qu'à l'impact des nouvelles technologies sur le lieu de travail.
7. Vidéosurveillance
Les entreprises doivent également revoir leur procédure d’installation et d’usage en matière de vidéosurveillance. La CEDH indique que les travailleurs doivent être préalablement clairement informés de l’objectif d’une installation de caméras fixes, conformément aux dispositions de la réglementation sur la protection des données.
8. Transfert international de données en dehors de l’UE
Le transfert des données personnelles des employés vers des pays hors UE représente un risque énorme, car il n’y a aucune garantie de protection. Le Règlement général sur la protection des données a imposé certaines restrictions pour limiter la capacité d'une entreprise à transférer ces données et pour faire respecter les droits des salariés.
9. Contrats avec les prestataires tiers
Il est nécessaire de mettre à jour les contrats avec les fournisseurs ou les prestataires qui ont accès aux données personnelles de l’entreprise afin de veiller au bon respect des exigences du RGPD. Cela concerne les contrats avec les prestataires de recrutement et de gestion de la paie.
En raison du volume de données personnelles qu’une entreprise gère au cours de tous ses processus, la contribution du service des ressources humaines à la conformité au RGPD est cruciale. Il est donc essentiel de prendre en considération tous les éléments du RGPD afin de mettre en œuvre un plan d’action efficace.
Que peuvent faire les équipes de ressources humaines pour se conformer au RGPD ?
Le RGPD exige des entreprises qu’elles soient proactives et responsables en ce qui concerne la mise en œuvre de mesures techniques et organisationnelles en matière de traitement des plaintes relatives aux données.
Les entreprises sont tenues d’analyser le type de données qu’elles traitent, la façon dont elles les traitent et le but de ce traitement. Voici quelques conseils pour aider les équipes de ressources humaines à se conformer au RGPD :
1. Engager un délégué à la protection des données (DPD)
Comme le prévoit l'article 37 du Règlement général sur la protection des données, l'embauche d'un DPD est cruciale. Le DPD est chargé de superviser les stratégies de protection des données des entreprises et de veiller au respect des exigences du Règlement général sur la protection des données.
2. Faire l’inventaire des données personnelles.
L’inventaire des données importantes facilite leur suivi et leur traitement et aide à vérifier la conformité de l’entreprise. Voici quelques éléments clés à prendre en considération lors du suivi des informations de votre entreprise :
- Identifier les données personnelles et les données sensibles, ainsi que les opérations de traitement existantes et en vérifier la conformité.
- Savoir qui (employés, prestataires ou fournisseurs) a accès aux données et pourquoi.
- Surveiller les employés, les prestataires et les fournisseurs qui travaillent avec les données de l’entreprise et examiner les contrats.
- Vérifier que tout traitement de données effectué par les prestataires et les fournisseurs est conforme au RGPD.
- Analyser les pratiques en matière d’archivage et la durée de conservation des données personnelles des ressources humaines.
- Veiller à ce que les solutions de ressources humaines et, le cas échéant, votre système d’information des ressources humaines (SIRH) soient conformes au RGPD.
3. Prendre des mesures
Une fois que vous avez fait un inventaire et identifié les corrections nécessaires, il est important de créer et de mettre en œuvre un plan d’action dans lequel vous définissez les étapes à suivre.
Assurez-vous de réaliser ce qui suit :
- Vérifier les données
- Mener des évaluations d'incidence
- Passer en revue vos mesures de protection et de sécurité
- Passer en revue vos processus et vos procédures.
4Mettre en œuvre un plan de communication
Il est important de mettre en œuvre un plan de communication interne afin que tous vos employés sachent comment accéder à leurs informations et ce qu'il y aura lieu de faire en cas de changement dans ce processus. Une partie de la nouvelle réglementation exige que les entreprises communiquent clairement comment, où et pendant combien de temps les informations personnelles des employés seront conservées.
5. S'assurer que les données conservées sont les bonnes
Les entreprises doivent s’assurer de ne conserver que les données corrigées et mises à jour. Elles doivent également identifier les données qu’elles peuvent conserver et celles qui doivent être supprimées. Moins vous avez de données, plus il sera facile de respecter le Règlement général sur la protection des données (RGPD).
6. Passer en revue les politiques de confidentialité
Les entreprises doivent être transparentes en ce qui concerne les données qu’elles traitent. L’examen des accords de confidentialité est source de transparence et inspire confiance. Mettez à jour les politiques et procédures de sécurité des données en utilisant un langage clair et simple, et assurez-vous que ces politiques sont facilement accessibles.
7. Respecter les droits des employés
Comme nous l’avons mentionné, le RGPD établit de nouveaux droits pour les employés. Il est crucial de veiller à ce que ces droits soient respectés pour éviter des sanctions.
8. Adopter le RGPD dans le cadre de la culture d’entreprise
Il est important que les entreprises fassent connaître les réglementations en interne. En les intégrant à la culture d’entreprise, vous vous assurez que tous les employés les connaissent et les comprennent.
9. Améliorer la sécurité
Assurez-vous que les données sont sécurisées et évitez les fuites. En cas de violation des données, les parties concernées doivent être informées dans un délai de 72 heures. Pour éviter les fuites, vous devez avoir recours à des services de stockage de données fiables, en plus de mettre à jour vos politiques de sécurité.
10. Obtenir le consentement des employés
Il est essentiel que vous informiez vos employés des mesures et procédures en cours, et que vous obteniez leur consentement au traitement et au transfert de leurs données. Ce consentement doit représenter l’expression libre, éclairée et claire de leur accord.
Au-delà de l’obligation qu’il représente, le RGPD peut contribuer à améliorer les performances de votre entreprise, ainsi que la confiance et le bien-être des employés. Cependant, cela n’arrivera que si vos données et vos mesures de sécurité, vos outils, vos méthodes et vos processus sont rationalisés.
Ces nouveaux défis donnent aux services des ressources humaines la possibilité d’être les moteurs de l’internationalisation de leur entreprise, renforçant la qualité de sa coopération avec ses fournisseurs et ses prestataires. Une politique claire sur la gestion des données personnelles permet également d’améliorer la réputation des entreprises et de les rendre attrayantes en tant qu’employeurs.
