Comment les SIRH doivent ils se préparer au Règlement Général de Protection des Données (RGPD) ?

Article paru le 20 novembre 2017 | Partager sur les réseaux sociaux

Classé dans : Newsletter Ressources humaines RGPD

Le Règlement UE 2016/679 du Parlement Européen et du conseil du 27 avril 2016 entrera en application le 25 mai 2018.

Ce texte a pour vocation d’adapter le Droit aux nouvelles réalités numériques, et plus spécifiquement concernant la protection des données personnelles qui sont aujourd’hui devenues une ressource clef pour l’économie mondiale. Le SIRH est l’un des systèmes réunissant le plus de données personnelles et il est porté par la généralisation du mode SaaS qui ouvre la porte à de nouvelles zones de risque. A l’ère du Big Data et de la révolution digitale, ce règlement pourrait limiter l’exploitation des données personnelles dans le cadre de l’entreprise.

Contenu et objectifs du texte européen

A l’échelle européenne, le règlement permet d’unifier les règles au sein de l’ensemble des pays membres.

Cette règlementation poursuit un triple objectif :

  • renforcer le droit des personnes quant à leurs données personnelles,
  • responsabiliser les acteurs utilisant ces données,
  • crédibiliser la régulation grâce à une coopération de protection des données renforcée entre les autorités.

Le texte adopté est un règlement européen, il est directement applicable dans l’ensemble de l’Union Européenne sans nécessiter de transposition dans les différents États membres.

Conséquences du règlement sur les SIRH

De nombreuses formalités auprès de la CNIL vont disparaître, il n’y aura notamment plus de déclaration ou de demande d’autorisation préalable à la mise en place de traitements de données à caractère personnel. En contrepartie, la responsabilité des organismes sera renforcée, tout comme les éventuelles sanctions.

Le texte introduit :
La notion de conformité afin d’assurer une protection optimale des données personnelles que les systèmes traitent de manière continue. Les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et être en capacité de démontrer cette conformité à tout moment (accountability).

Le droit à la portabilité des données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies, sous une forme aisément réutilisable, et le cas échéant de les transférer ensuite à un tiers. Concrètement les données personnelles ne devraient plus pouvoir être exploitées sans le consentement des personnes concernées.

Le droit à l’effacement (à l’oubli) : L’article 17 est consacré au droit à l’oubli afin que les personnes ne voient pas leur vie entravée par le rappel omniprésent de leur passé, phénomène démultiplié par les environnements numériques. Ce droit à l’oubli est toutefois conditionné à un certain nombre de motifs énumérés par l’article, par exemple au fait que les données à caractère personnel ne soient plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.

La protection des données doit être une préoccupation dès la conception des outils et par défaut (privacy by design), il est désormais essentiel d’intégrer cette approche dans les projets SIRH.

Sous-traitance des données : d’après IDC (International Data Corporation), de nombreuses sociétés vont décider d’externaliser le traitement des données RH afin de limiter leurs risques et de respecter leurs obligations de conformité. Or, les sanctions étant désormais partagées, le sous-traitant pourra être contrôlé et sanctionné au même titre que l’est aujourd’hui le responsable de traitement.

Si le sous-traitant est situé dans un pays non membre de l’Union Européenne, l’article 27 du règlement prévoit qu’un représentant de celui-ci devra être désigné et résider dans l’état membre où se situent les données à caractère personnel faisant l’objet d’un traitement. Le représentant est mandaté par le sous-traitant pour être la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du sous-traitant, pour toutes les questions relatives au traitement, afin d’assurer le respect du règlement.

Mettre en place en place les modalités du règlement

En vue de mettre en application les modalités définies dans ce règlement dans les SI, 6 étapes clés sont envisagées :

  1. Désigner un pilote pour la gouvernance des données personnelles,
  2. Cartographier les traitements des données personnelles afin de mesurer concrètement l’impact du règlement européen sur la protection des données,
  3. Prioriser les actions à mener afin de conformer les traitements aux obligations actuelles et à venir au regard des risques que font peser ces processus RH sur les droits et les libertés des salariés,
  4. Identifier les traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées et mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA),
  5. Organiser les processus internes afin de respecter le niveau de protection des données personnelles instauré par le Règlement, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un processus informatique comme les risques de failles de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées,
  6. Documenter la conformité comme le texte renforce le pouvoir de sanction de la CNIL et que les entreprises doivent être en mesure de prouver leur conformité à tout moment. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

A l’échelle de l’Europe, ce règlement devrait permettre une meilleure protection des flux de données transitant par les SIRH notamment. Il restera à mesurer la conséquence de cette règlementation sur les nouvelles technologies pour lesquelles ces données sont clefs.

Partagez cet article sur les réseaux sociaux