Vous travaillez dans les ressources humaines (RH) et vous vous demandez quel va être l’impact de la nouvelle réglementation sur les données personnelles. Vous faites bien de vous poser la question, puisque cette nouvelle réglementation va avoir un impact sur votre travail. On fait le point ensemble sur ces changements.
Avez-vous besoin d’un délégué à la protection des données (DPO) ?
Êtes-vous dans l’obligation d’avoir un DPO ou non ? Si vous ne savez pas si vous devez en avoir un, ou ce que c’est, vous pouvez lire notre article sur le sujet.
De plus, si les notions de données personnelles, de traitement de données, vous semblent incompréhensibles, vous pouvez commencer par lire notre article explicatif.
Respecter l’obligation de minimisation
Il est nécessaire de respecter l’obligation de minimisation de la collecte des données. Cela consiste en quoi ?
Vous ne devez que collecter les données adéquates, pertinentes et nécessaires pour la finalité du traitement. La finalité du traitement, c’est la raison pour laquelle vous traitez les données. Ça peut-être : traiter des candidatures, gérer le paiement des salaires, gérer les congés payés/RTT.
Donc le numéro de sécurité sociale, des informations familiales ou sur la vie privée des candidats ne sont pas nécessaires pour traiter des candidatures. Les services RH ont généralement tendance à collecter plein de données dont ils n’ont pas nécessairement besoin. Il faut donc perdre cette mauvaise habitude.
Vous ne pouvez pas non plus collecter des données sensibles qui sont détaillées à l’article 9 du RGPD. C’est notamment des données sur les orientations sexuelles, politiques, sur les condamnations, etc.
Respecter la limitation de la durée de conservation
Il est nécessaire de prévoir une politique de durée de conservation des données au sein de l’entreprise et qu’elles soient effectivement supprimées dans les délais prévus.
Par exemple, on peut prévoir de conserver les données d’un salarié pendant 5 ans après la fin de la relation de travail ou pour les CV des candidats qui n’ont pas été retenus pendant 1 an après leur réception.
Informer les salariés
Le RGPD oblige à ce que les personnes, dont les données sont traitées, soient informées concernant le traitement. Cette information doit être donnée dès la collecte des données.
Par exemple, dans le cadre d’une campagne de recrutement, vous pouvez faire apparaître ces informations dans le formulaire en ligne pour postuler.
Pour les nouveaux salariés, vous pouvez mettre une clause assez générique dans leur contrat de travail et faire signer un papier à côté avec toutes les informations requises. Vous devrez d’ailleurs faire signer ce papier à tous vos salariés, car eux aussi doivent être informés.
Tenir un registre des traitements RH
Il est nécessaire de tenir un registre pour l’ensemble des traitements relatifs aux RH. Vous serez exempté d’en tenir un lorsqu’ils sont occasionnels et que vous avez moins de 250 salariés. Un traitement occasionnel est un traitement que vous ne répétez pas régulièrement. Par exemple, collecter des données pour prévoir un événement d’entreprise (par exemple, un séminaire d’entreprise) avec tous les salariés est un traitement occasionnel.
Les mentions obligatoires sont : le nom et les coordonnées du responsable de traitement (vous par exemple), les objectifs du traitement (ex : la gestion des avancements, gestion des recrutements), les personnes et données concernées, s’il y a un transfert de données en dehors de l’UE, une description des mesures de sécurité pour protéger les données et les délais de conservation des données.
Nettoyez vos archives papier et informatiques
Eh oui, les données personnelles sont les données stockées informatiquement, mais aussi sur papier. L’arrivée du RGPD est donc une opportunité de faire le ménage dans vos archives pour supprimer les données que vous auriez dû supprimer depuis longtemps.
Car, comme vous l’avez certainement déjà entendu, les amendes peuvent être excessivement salées, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
Pour continuer : si vous voulez en savoir plus pour être en conformité avec le RGPD, vous pouvez lire notre check-list pour être prêt pour le 25 mai 2018.
