RGPD et Données RH : Que peut-on faire ? Ne pas faire ? Que devons-nous faire ?

Au sein de l’entreprise, nous avons tendance à oublier qu’un·e employé·e est un·e internaute comme les autres, principalement parce que plusieurs de leurs données personnelles sont essentielles à la gestion de leur carrière :

– leur identité : CNI, Passeport, Carte vitale, Prénom, Nom, Photos… ;

– leur finance : salaire, RIB, situation fiscale, notes de frais… ;

– leur localisation : adresse personnelle, trajet de leur véhicule de fonction, déplacements défrayés… ;

– leurs échanges : messagerie instantanée, conversation téléphonique, e-mail… ;

– leurs actions : livrables, temps de travail (pointage), géolocalisation, rendez-vous (agenda partagé), absences (arrêts, congés etc.) …

Même si ces informations sont communes à la gestion de l’entreprise, le RGPD régule aussi la collecte et le traitement des données sur les employé·e·s, et ce, au même titre que tous les citoyen·ne·s européen·ne·s. Eux aussi peuvent exercer leurs droits de réclamer transparence, consentement et réversibilité du traitement de leurs données professionnelles.

Dans un contexte de transformation digitale, la mise en place d’une politique RGPD claire et transparente, quant à la protection des données des employé·e·s, peut renforcer la confiance envers les nouveaux usages numériques.

Voici les principales actions à passer en revue pour exploiter les données RH de vos salariés tout en respectant le RGPD :

Ce qu’on peut faire

Garantir l’enregistrement et la journalisation des actions effectuées sur les données RH

 Ce qu’on ne peut pas faire
  • Demander des documents et données sociales des candidats avant la signature de leur contrat d’embauche
  • Demander et collecter des informations extraprofessionnelles : famille, opinions politiques, appartenance syndicale, origine ethnique, religion…
  • Permettre la collecte des données RH à tout dispositif qui n’a pas été communiqué aux Employés et aux Candidats
 Ce qu’on doit faire
  • Transmettre, à la demande des candidats et des employés, une copie des données stockées les concernant
  • Limiter les outils à la collecte et aux traitements des données strictement utiles à la gestion administrative du personnel, l’organisation du travail et l’action sociale
  • Mettre en place des habilitations d’accès aux données :
    • Recruteurs : Accès aux données des candidats
    • Administration : Accès aux données sociales/comptables des employés
    • Gestion du personnel : Accès à toutes les données des employés
    • Supérieurs hiérarchiques : Accès strictement limité à l’exercice de leur fonctions (statistiques, évaluations, dépenses…)
    • Délégués du personnel : Accès aux données du Registre unique du personnel
    • CSE / Syndicat : Accès sur autorisation de l’employeur avec le consentement des employés (qui peuvent s’opposer à tout moment, à toute communication avec ces instances)
  • Expliciter aux Candidats le caractère obligatoire ou facultatif des réponses à fournir lors d’un recrutement, ainsi que les conséquences réelles et factuelles en cas de non-réponse
  • Demander aux Candidats l’autorisation de conserver ses données
  • Limiter à 2 ans la conservation des données Candidats
  • Limiter la conservation des données Employés à 5 ans après son départ

 

À lire en complèment

« RGPD, logiciels et données des employés : Que peut-on faire ? Ne pas faire ? Que devons-nous faire ? » 

 


Comment mettre en place une organisation collaborative du télétravail ?

Notre organisation de travail est une organisation à l’échelle d’une TPE en pleine croissance avec 3 associés actifs, des prestataires et des clients dispersés dans la région.

Notre philosophie de travail est assez simple : nous marchons à la confiance et à la transparence.

Pour nous, les erreurs, les retards, les absences, les difficultés ne sont pas graves tant qu’ils sont communiqués assez tôt afin d’être résolus collectivement. Nous tâchons de responsabiliser toute personne qui collabore avec nous, sans contrôle des horaires, ou de la présence,tant que les tâches sont bien réalisées, dans les délais qui conviennent à notre organisation et à nos clients.

Une réadaptation des méthodes Agile

Notre méthode d’organisation tire ses principes de plusieurs méthodes Agile que nous avons réadaptées selon nos appétences, nos ressources et nos enjeux business.

Nous découpons notre organisation de travail en Phase qui représente 1 objectif de croissance à atteindre. 1 Phase = 1 trimestre. Chaque trimestre se rythme en Sprint (ensemble de tâches) étalé sur 10 jours ouvrés de travail.

Tous les 10 jours, nous revoyons nos niveaux de priorité et de temps pour chaque Tâche ou ensemble de Tâches (attention anglicismes de consultant) :

  • Backlog – Tâches à réaliser qui n’ont pas encore d’objectif et/ou de délai associés
  • Starred – Tâches définies et validées qui doivent être réalisées pendant les deux prochaines Phase
  • Sprint Backlog – Tâches à réaliser pendant le Sprint en cours (1 Sprint = 10 ouvrés de travail)
  • Sprint Review – Tâches terminées qui nécessitent une relecture ou une validation
  • Done – Tâches terminées

Suivi des tâches

Au cours d’un Sprint, chacun est libre de prioriser ses tâches comme il/elle le souhaite. Nous exigeons cependant que les tâches soient réalisées au bout des 10 jours.

A la fin d’un Sprint, nous faisons le point au cours d’une réunion d’une heure. La veille, une note est envoyée aux participants de la réunion pour leur rappeler les informations qu’ils doivent préparer.

Au cours de la réunion, tout le monde s’exprime et doit présenter tour à tour :

  • L’état des interventions chez le Client, ses besoins et ses manques éventuels pour la bonne poursuite de la mission ;
  • Ses réussites et ses difficultés ;
  • Les tâches réalisées pour l’agence ;
  • Les tâches en retard, les tâches en cours et les besoins pour les terminer ;
  • Les tâches qu’il/elle souhaite faire sur le Sprint à venir avec le temps que cela prend pour chaque tâche ;
  • Une estimation de son temps réel disponible pour valider la faisabilité des tâches à venir.

À l’issue de la réunion, le compte-rendu est traduit en tâches que nous répartissons dans notre outil de gestion de tâches (Planner). Chaque collaborateur balaie une dernier fois ses tâches et valide la faisabilité son Sprint dès le lendemain de la réunion. 

L’objectif de cette méthode est de se responsabiliser en permettant à chacun de définir son planning et ses tâches pour atteindre un objectif commun. Ainsi nous renforçons l’engagement et la confiance de nos équipes.

Outils d’organisation (accessible en télétravail)

- Planner (Office 365) pour la gestion des tâches et des projets Client

- To-Do (Office 365) pour la gestion des tâches individuels

- OneDrive (Office 365) pour la gestion documentaire, les fichiers de travail et les ressources de veille (études, livres blancs, rapport etc.)

- Sharepoint (Office 365) pour centraliser les accès aux outils et ressources de travail, les rapports Google Data Studio, les résultats de nos veilles, des fiches de bonnes pratiques, un agenda des événements professionnels

- Slack pour la communication interne et la communication projet

- Teams (Office 365) pour les visioconférences avec nos clients (quand nos client sont sur Office365)

- Skype pour les points avec nos prestataires  

- PipeDrive (CRM) synchronisé à Mailjet (e-mailing) pour le suivi de la prospection et des retombées marketing de nos contenus


RGPD et Travail en ligne : Que faire ? Ne pas faire ? Que devons-nous faire ?

Au sein de l’entreprise, nous avons tendance à oublier qu’un·e employé·e est un·e internaute comme les autres, principalement parce que plusieurs de leurs données personnelles sont essentielles à la gestion de leur carrière :

- leur identité : CNI, Passeport, Carte vitale, Prénom, Nom, Photos… ;

- leur finance : salaire, RIB, situation fiscale, notes de frais… ;

- leur localisation : adresse personnelle, trajet de leur véhicule de fonction, déplacements défrayés… ;

- leurs échanges : messagerie instantanée, conversation téléphonique, e-mail… ;

- leurs actions : livrables, temps de travail (pointage), géolocalisation, rendez-vous (agenda partagé), absences (arrêts, congés etc.) …

Même si ces informations sont communes à la gestion de l’entreprise, le RGPD régule aussi la collecte et le traitement des données sur les employé·e·s, et ce, au même titre que tous les citoyen·ne·s européen·ne·s. Eux aussi peuvent exercer leurs droits de réclamer transparence, consentement et réversibilité du traitement de leur données professionnelles.

Dans un contexte d’intensification des projets internes de transformation digitale, la mise en place d’une politique RGPD claire et transparente, quant à la protection des données des employé·e·s, peut renforcer la confiance envers les nouveaux usages numériques.

Voici les principales actions à passer en revue pour collecter, traiter, stocker et contrôler l'activité de vos salariés sur leurs outils de travail en ligne, tout en respectant le RGPD :
Ce qu’on peut faire
  • Contrôler et limiter l’utilisation personnelle d’internet (filtrage de site, détection de virus, filtre anti-spam, mesure d'envoi des e-mail...)
  • Contrôler les outils de messagerie (détection de virus, limites d’envois, anti-spam, reporting etc.)
  • Lire ponctuellement les contenus envoyés et/ou conçus par les employés tant qu’il s’agit de contenus professionnels, sans la mention « Privé » ou « Personnel »
  • Prendre ponctuellement connaissance des sites consultés via les outils mis à disposition par l’entreprise, sur les horaires de travail uniquement
  • Diffuser les messages et les contenus d’un·e employé·e à un expert juridique en cas d’enquête judiciaire en cours impliquant le/la dit·e employé·e
Ce qu’on ne peut pas faire
  • Recevoir une copie automatique des messages échangés dans l’entreprise
  • Surveille et contrôler en permanence les messages et contenus des employés
  • Mettre en place des keyloggers sans un motif de sécurité
  • Conserver les logs de connexion plus de 6 mois
  • Consulter les messages et contenus personnels ou privés des employés même s’il est interdit d’utiliser les outils de l’entreprise à des fins personnels
  • Consulter des fichiers identifiés comme Personnel ou Privé sans la présence de l’employé et/ou sans l’appréciation des juridictions
  • Réclamer les identifiants et mots de passe des employés en dehors de situations exceptionnelles où il est nécessaire de récolter ses contenus pour la poursuivre de l’activité (Ex : Absence / Congés…)
Ce qu’on doit faire
  • Consulter et/ou informer les représentants et gestionnaires du personnel avant la mise en œuvre d’un dispositif de contrôle des outils informatiques
  • Communiquer aux Employés et aux Prestataires, toutes les informations relatives à :
    • La collecte des informations les concernant individuellement
    • Les objectifs et aux finalités de traitement de leurs données
    • Les durées de conservation de leurs données
    • L’identité des destinataires et personnes habilités au traitement de leurs données
    • L’exercice de leurs droits d’opposition, d’accès et de rétractation
    • Le cadre légal du dispositif de contrôle
  • Associer le/la DPO, si l'entreprise en a désigné un·e, à chaque mise en œuvre de dispositif de collecte et de traitement de données relatives aux employé·e·s.
  • Inscrire les différents systèmes de contrôle des outils informatiques au Registre des activités de traitement tenu par l’Employeur.

Enfin, si l’entreprise fait appel à des prestataires (agence, consultants, freelance) et fournisseurs externes (intégrateur, éditeur, solution SaaS…) pour mettre en œuvre ces dispositifs, il est également de la responsabilité de l’Employeur de contrôler et garantir la sécurité des données des Employés. La CNIL et l’Inspection du Travail restent des instances fiables pour orienter l’entreprise quant aux bonnes pratiques à mettre en place.


Réussir une réunion à distance (et IRL)

Réussir une réunion IRL comme à distance est un art accessible qui ne demande pas énormément de moyen : des objectifs clairs, des participants qui sont réellement concernés par les sujets abordés, de la préparation et un suivi concret.

Une bonne réunion, ce n’est pas juste un bon moment d’échange, c’est aussi une activité de travail qui doit être vécue comme une activité productive et inspirante, en tenant compte de chaque participant.

Choisir des logiciels/applications adaptés à la majorité des participants

Est-ce vraiment important de bien choisir ? Oui, car combien d’entre vous ont perdu leur sang-froid à cause des latences, une présentation qui ne s’affiche pas, du bruit inaudible ou des audios coupés ? Qu’il s’agisse de Zoom, Teams ou Google Meet, ces solutions ne se valent pas toutes selon le format de réunion, le réseau des participants, le nombre de participants, les objectifs de réunion...

Pour bien choisir et ne pas perdre de temps dans la prise en main, plusieurs questions s’imposent :

  • Combien de personnes participent à la réunion ? La solution choisie peut-elle tenir cette charge en ligne et/ou en local ?
  • Les participant·e·s ont-ils une bonne connexion ? Celles et ceux qui ont des problèmes de réseau ont-ils une alternative ? Comment les intégrer à la réunion si ce n’est pas le cas ?
  • La réunion nécessite-t-elle des fonctionnalités complémentaires : whiteboard, partage d’écran, arrière-plan, questionnaire en ligne… ?
  • La solution est-elle sécurisée ?
  • Les participant·e·s ont-ils déjà utilisé une solution de visio ? Faut-il prévoir un tutoriel en amont ? 
  • Les participant·e·s ont-ils accès à la solution de visio ? Doivent-ils prévoir une installation au préalable ?

Donner du sens et du rythme à la réunion en la structurant en amont

En tant qu’initiateur et initiatrice de la réunion, structurer une réunion permet de valider sa pertinence en amont, avoir un document de référence pour modérer les temps de paroles et des objectifs concrets pour impliquer les participants.

Grâce à cette petite routine, vous communiquez aux participants de la réunion ce qui leur permettra de savoir pourquoi ils-elles vous bloquent du temps, ce qu’ils-elles peuvent apporter et ceux que cela va leur apporter :

  • Formaliser les sujets à aborder
  • Vérifier que ces sujets n’ont pas déjà été résolus
  • Identifier les personnes réellement concernées et leur assigner un sujet
  • Définir ce qui est attendu pour chaque sujet et pour quand : un plan d’action, une validation, une revue, un REX, un livrable…
  • Vérifier une nouvelle fois que ces attentes n’ont pas déjà été résolues
  • Estimer le temps nécessaire pour répondre à tout
  • Définir un ordre du jour et le communiquer en amont en précisant le temps que cela va prendre

Assurer un suivi après la réunion

Pour assurer le suivi d’une réunion, le plus simple reste de planifier et de répartir des tâches suite aux conclusions qui auront été faites. Afin d’éviter que la dynamique s’essouffle, il vaut mieux ne pas tarder à donner ces tâches dans un compte-rendu synthétique ou dans un outil de gestion, au mieux à la fin de la réunion, au plus tard dans les 48h. Enfin pour limiter les interprétations et valider la compréhension de tous, il est conseillé de relancer les participants qui n’ont pas formulé de retour après la communication post-réunion.

Bonus : les actions à décrochage garantie lors d’une réunion

  • Lire des livrables ;
  • Corriger des livrables ;
  • Ne pas prendre de notes ;
  • Chercher à interpeller une personne qui n’est pas présente et qui n’était pas prévue ;
  • « Prendre le temps qu’il faudra » ;
  • Demander des retours à chaud…

CoolIt-diversite-en-enreprise

Diversité en entreprise : comment agir contre les discriminations raciales ?

Votre employé·e, ou votre collègue racisé·e, n’en parle certainement pas mais il-elle est probablement touché·e par des faits d’actualités qui atteignent négativement ses origines et sa culture.

Ces événements sont susceptibles de faire écho à des violences subies depuis plusieurs années au sein même de votre entreprise , dans sa vie privée. Ils/elles n’en parlent pas, car ils/elles craignent de subir des représailles et de perdre leur emploi.

La diversité, l’inclusion en entreprise, se reposent sur plusieurs piliers de tolérance, où les actions de l’entreprise doivent permettre aux personnes concernées de ne pas se sentir stigmatisées :

  • Les identités de genre
  • Les orientations amoureuses
  • L’âge
  • L’origine sociale
  • La condition physique
  • L’appartenance éthnique
  • Les croyances religieuses

L’article qui va suivre rassemble un ensemble de ressources (non-exhaustives) pour mettre en place des politiques de diversité et d’inclusion, sincères et concrètes.

Comment identifier et corriger les biais discriminants et favoriser la diversité en entreprise ?

Avant de corriger, il y a avant tout un travail de prise de recul à réaliser. La question « raciale » reste encore un sujet tendu et complexe à aborder en entreprise, et ce, pour des raisons multiples :

  • la peur du badbuzz et de perdre des clients ;
  • la peur du conflit ;
  • le refus de politiser des discours de marques ;
  • le refus de parler ouvertement de « race » et de différences culturelles ;
  • le manque d’informations et de ressources ;
  • dans les cas les plus obscurs, l’indifférence ou une volonté véritable de discriminer…

Pourtant, ce tabou autour de la diversité ethnique vaudrait la peine d’être levé. En effet, il ouvrirait le dialogue sur les biais décisionnels qu’un manque de diversité entraîne avec pour conséquences des opportunités d’innovation plus limitées, des talents qui préféreront rejoindre des entreprises plus inclusives ou encore des clients susceptibles de privilégier des entreprises qui les représentent davantage.

D’après l’Étude McKinsey 2017 “Why diversity matters” ces biais décisionnels réduisent la capacité d’innover et de répondre aux besoins des populations dans leur globalité. Les entreprises qui intègrent la diversité sont 33% plus susceptibles d’avoir des résultats financiers supérieurs à la moyenne. Quant au recrutement, 55% des employés considèrent l’engagement social d’une entreprise comme un critère plus important que le salaire, selon une étude de l’agence Cone Communications. Cette statistique monte à 76 % chez les Millennials

Mahzarin R. Banaji, professeure en Social Psychology à l’Université d’Harvard, a créé un outil appelé le « Test d’Associations Implicite (TAI) ». Ce test a pour objectif d’identifier les stéréotypes inconscients que nous pouvons avoir sur la base des questions de Genre, de Religion et d’Ethnicité.

Dans son dossier « Nous sommes tous biaisés », Welcome to the Jungle propose des articles courts afin de passer en revue plusieurs biais cognitifs qui affectent les décisions RH, et quelques solutions pour y remédier :

Comment lutter contre la discrimination à l’embauche et le harcèlement discriminatoire au travail ?  

#1- Se rappeler que la discrimination a plusieurs formes

Le Défenseur des Droits met à disposition des entreprises et des employés un certain nombre de ressources pour identifier et contrer les discriminations à l’embauche :

#2 – Se faire accompagner

  • Le cabinet Mozaïk œuvre depuis 2008 à accompagner les entreprises vers un recrutement plus divers et inclusif : https://mozaikrh.com/
  • Marie Dasylva, fondatrice de l’agence Nkali Works, accompagne les personnes minorisées, à se défendre et à saisir les personnes référentes quand ils/elles sont victimes de discrimination : https://www.linkedin.com/in/marie-dasylva/

Comment rebondir intelligemment et de manière pertinente aux faits d’actualités autour des luttes antiracistes ?

Pour engager une campagne antiraciste, il y a plusieurs sujets à éclaircir pour limiter le bad buzz, le délit d’opportunisme et les promesses employeur non-tenues :  

  • Être en mesure d’aligner image de marque, marque employeur, discours et conditions de travail : Le cas de la marque Anthropologie en est un « bon » exemple.
  • Questionner la place et le nombre de personnes racisées au sein de l’entreprise : Le cabinet Mixity permet la réalisation, en toute légalité, d’un audit indépendant de cartographie de la diversité en produisant des données. Ces dernières n’ont pas vocation à être diffusées au public, mais à donner des indicateurs en interne, qui doivent mener à des plans d’action.
  • Questionner sa communication externe, ses discours, ses images et ses symboles : Le cabinet Accordia propose des ateliers, formations et des outils ludiques pour accompagner les entreprises à questionner ses biais discriminants pour intégrer plus de diversité dans ses enjeux business.
  • Prévoir des actions concrètes à maintenir dans le temps : Les engagements et les actions contre le racisme ne sont pas des tendances. Pour que les messages restent authentiques, chaque campagne en soutien à une cause, doit générer des actions pérennes pour ne pas tomber dans les travers du «Washing»  

Quelques exemples d’actions entreprises par des grandes marques :

  • Pull up for change, mouvement lancé par Sharon Chuter, fondatrice et PDG de Uoma Beauty, qui vise à rendre public les statistiques éthniques, et les actions engagée par les entreprises contre le racisme
  • Stop talking, ACT, autour du mouvement Black Lives Matter, par Amélie Ebongué, experte en Social Media, autrice de « Génération TikTok : Un nouvel eldorado pour les marques »

Cet article est loin d’être exhaustif, et on espère qu’il vous aidera à identifier des axes d’amélioration pour que la diversité en entreprise devienne une norme.