RGPD et Gestion des Ressources Humaines : Que peut-on faire ? Ne pas faire ? Que devons-nous faire ?

Au sein de l’entreprise, nous avons tendance à oublier qu’un·e employé·e est un·e internaute comme les autres, principalement parce que plusieurs de leurs données personnelles sont essentielles à la gestion de leur carrière :

– leur identité : CNI, Passeport, Carte vitale, Prénom, Nom, Photos… ;

– leur finance : salaire, RIB, situation fiscale, notes de frais… ;

– leur localisation : adresse personnelle, trajet de leur véhicule de fonction, déplacements défrayés… ;

– leurs échanges : messagerie instantanée, conversation téléphonique, e-mail… ;

– leurs actions : livrables, temps de travail (pointage), géolocalisation, rendez-vous (agenda partagé), absences (arrêts, congés etc.) …

Même si ces informations sont communes à la gestion de l’entreprise, le RGPD régule aussi la collecte et le traitement des données sur les employé·e·s, et ce, au même titre que tous les citoyen·ne·s européen·ne·s. Eux aussi peuvent exercer leurs droits de réclamer transparence, consentement et réversibilité du traitement de leurs données professionnelles.

Dans un contexte d’intensification des projets internes de transformation digitale, la mise en place d’une politique RGPD claire et transparente, quant à la protection des données des employé·e·s, peut renforcer la confiance envers les nouveaux usages numériques.

Lire le Volet 1 "RGPD, solutions informatiques et données des employés : Que peut-on faire ? Ne pas faire ? Que devons-nous faire ?" 

Voici les principales actions à passer en revue pour collecter, traiter et stocker les données RH de vos salariés tout en respectant le RGPD :

Ce qu’on peut faire

  • Garantir l’enregistrement et la journalisation des actions effectuées sur les données RH

Ce qu’on ne peut pas faire

  • Demander des documents et données sociales des candidats avant la signature de leur contrat d’embauche
  • Demander et collecter des informations extraprofessionnelles : famille, opinions politiques, appartenance syndicale, origine ethnique, religion…
  • Permettre la collecte des données RH à tout dispositif qui n’a pas été communiqué aux Employés et aux Candidats

Ce qu’on doit faire

  • Transmettre, à la demande des candidats et des employés, une copie des données stockées les concernant
  • Limiter les outils à la collecte et aux traitements des données strictement utiles à la gestion administrative du personnel, l’organisation du travail et l’action sociale
  • Mettre en place des habilitations d’accès aux données : 
    • Recruteurs : Accès aux données des candidats
    • Administration : Accès aux données sociales/comptables des employés
    • Gestion du personnel : Accès à toutes les données des employés
    • Supérieurs hiérarchiques : Accès strictement limité à l’exercice de leur fonctions (statistiques, évaluations, dépenses…)
    • Délégués du personnel : Accès aux données du Registre unique du personnel
    • CSE / Syndicat : Accès sur autorisation de l’employeur avec le consentement des employés (qui peuvent s’opposer à tout moment, à toute communication avec ces instances)
  • Expliciter aux Candidats le caractère obligatoire ou facultatif des réponses à fournir lors d’un recrutement, ainsi que les conséquences réelles et factuelles en cas de non-réponse
  • Demander aux Candidats l’autorisation de conserver ses données
  • Limiter à 2 ans la conservation des données Candidats
  • Limiter la conservation des données Employés à 5 ans après son départ

RGPD et outils de travail en ligne : Que faire ? Ne pas faire ? Que devons-nous faire ?

Au sein de l’entreprise, nous avons tendance à oublier qu’un·e employé·e est un·e internaute comme les autres, principalement parce que plusieurs de leurs données personnelles sont essentielles à la gestion de leur carrière :

- leur identité : CNI, Passeport, Carte vitale, Prénom, Nom, Photos… ;

- leur finance : salaire, RIB, situation fiscale, notes de frais… ;

- leur localisation : adresse personnelle, trajet de leur véhicule de fonction, déplacements défrayés… ;

- leurs échanges : messagerie instantanée, conversation téléphonique, e-mail… ;

- leurs actions : livrables, temps de travail (pointage), géolocalisation, rendez-vous (agenda partagé), absences (arrêts, congés etc.) …

Même si ces informations sont communes à la gestion de l’entreprise, le RGPD régule aussi la collecte et le traitement des données sur les employé·e·s, et ce, au même titre que tous les citoyen·ne·s européen·ne·s. Eux aussi peuvent exercer leurs droits de réclamer transparence, consentement et réversibilité du traitement de leur données professionnelles.

Dans un contexte d’intensification des projets internes de transformation digitale, la mise en place d’une politique RGPD claire et transparente, quant à la protection des données des employé·e·s, peut renforcer la confiance envers les nouveaux usages numériques.

Voici les principales actions à passer en revue pour collecter, traiter, stocker et contrôler l'activité de vos salariés sur leurs outils de travail en ligne, tout en respectant le RGPD :

Ce qu’on peut faire

  • Contrôler et limiter l’utilisation personnelle d’internet (filtrage de site, détection de virus, filtre anti-spam, mesure d'envoi des e-mail...)
  • Contrôler les outils de messagerie (détection de virus, limites d’envois, anti-spam, reporting etc.)
  • Lire ponctuellement les contenus envoyés et/ou conçus par les employés tant qu’il s’agit de contenus professionnels, sans la mention « Privé » ou « Personnel »
  • Prendre ponctuellement connaissance des sites consultés via les outils mis à disposition par l’entreprise, sur les horaires de travail uniquement
  • Diffuser les messages et les contenus d’un·e employé·e à un expert juridique en cas d’enquête judiciaire en cours impliquant le/la dit·e employé·e

Ce qu’on ne peut pas faire

  • Recevoir une copie automatique des messages échangés dans l’entreprise
  • Surveille et contrôler en permanence les messages et contenus des employés
  • Mettre en place des keyloggers sans un motif de sécurité
  • Conserver les logs de connexion plus de 6 mois
  • Consulter les messages et contenus personnels ou privés des employés même s’il est interdit d’utiliser les outils de l’entreprise à des fins personnels
  • Consulter des fichiers identifiés comme Personnel ou Privé sans la présence de l’employé et/ou sans l’appréciation des juridictions
  • Réclamer les identifiants et mots de passe des employés en dehors de situations exceptionnelles où il est nécessaire de récolter ses contenus pour la poursuivre de l’activité (Ex : Absence / Congés…)

Ce qu’on doit faire

  • Consulter et/ou informer les représentants et gestionnaires du personnel avant la mise en œuvre d’un dispositif de contrôle des outils informatiques
  • Communiquer aux Employés et aux Prestataires, toutes les informations relatives à :
    • La collecte des informations les concernant individuellement
    • Les objectifs et aux finalités de traitement de leurs données
    • Les durées de conservation de leurs données
    • L’identité des destinataires et personnes habilités au traitement de leurs données
    • L’exercice de leurs droits d’opposition, d’accès et de rétractation
    • Le cadre légal du dispositif de contrôle
  • Associer le/la DPO, si l'entreprise en a désigné un·e, à chaque mise en œuvre de dispositif de collecte et de traitement de données relatives aux employé·e·s.
  • Inscrire les différents systèmes de contrôle des outils informatiques au Registre des activités de traitement tenu par l’Employeur.

Enfin, si l’entreprise fait appel à des prestataires (agence, consultants, freelance) et fournisseurs externes (intégrateur, éditeur, solution SaaS…) pour mettre en œuvre ces dispositifs, il est également de la responsabilité de l’Employeur de contrôler et garantir la sécurité des données des Employés. La CNIL et l’Inspection du Travail restent des instances fiables pour orienter l’entreprise quant aux bonnes pratiques à mettre en place.