Le RGPD : Un an après, où en sommes-nous dans les SIRH ?

Article paru le 1er août 2019 | Partager sur les réseaux sociaux

Classé dans : Big Data Ressources humaines RGPD Réglementaire

Grand sujet réglementaire de l’année 2018, le Règlement Général sur la Protection des Données (RGPD) a déjà soufflé sa première bougie, l’occasion de faire un bilan sur sa mise en oeuvre dans les SIRH. Même si la CNIL reste tolérante sur certains points, de nombreuses entreprises sont encore dans leur phase de mise en place et éprouvent des difficultés à s’y conformer entièrement. A première vue pourtant, une vraie dynamique de transparence a été mise en place : en témoignent les nombreux e-mails que nous avons tous reçus en tant que consommateurs, nous priant d’accorder notre consentement pour continuer à exploiter les données liées aux services auxquels nous sommes inscrits. Mais rares ont été les entreprises à communiquer en interne auprès de leurs salariés concernant l’utilisation de leurs données personnelles (traitement, finalité, conservation, transfert..). Cette absence de communication engendre une double conséquence : un risque de sanctions en possédant des informations sensibles non justifiées (qui requièrent un motif légitime documenté et le consentement du salarié), et un manque d’engagement des employés envers les pratiques courantes liées au RGPD.

Une collecte des données personnelles des collaborateurs parfois injustifiée

Les données personnelles occupent une place omniprésente dans le parcours du collaborateur dans l’entreprise, et posent ainsi une question fondamentale (renforcée par l’utilisation des nouvelles technologies) : Où se situe la limite entre la vie privée et la vie professionnelle ? A quel degré considère-t-on que des données appartiennent à la vie privée du collaborateur ? A quel degré ces données sont essentielles à l’entreprise ? Pour aider les différents acteurs à répondre à ces questionnements, la CNIL a recensé dans un référentiel tous les traitements de données RH autorisés, et une consultation est en cours pour en créer deux autres, dans l’optique d’aligner les usages aux règles. On peut donc considérer que toutes les données non recensées relèvent de la vie privée du collaborateur.

De plus, dans de nombreux SIRH (européens ou non), de multiples champs ont la possibilité d’être renseignés bien que ceux-ci n’aient pas une utilité concrète pour la gestion opérationnelle des Ressources Humaines. Une entreprise peut par conséquent se retrouver en possession de données personnelles sensibles dont l’utilité reste à prouver, et ne respecte pas son devoir de « minimisation », qui consiste à revoir les champs obligatoires / facultatifs en fonction de son activité.

Également, certaines informations collectées pour une utilisation précise sont employées à d’autres fins, telles que la présence de l’adresse personnelle dans les fiches « Salarié » d’outil de gestion des temps, ou également l’appartenance religieuse présente dans un outil de Gestion Administrative. C’est à ce niveau que commencent les dérives que le RGPD tend à résoudre en rendant obligatoire la récolte du consentement éclairé du salarié, et une justification de l’utilité des données pour l’activité des Ressources Humaines. L’émergence encore timide du Privacy by Design apporte une première solution à cette problématique. Tout en conservant les données nécessaires au fonctionnement opérationnel de l’entreprise, il permet d’encourager la prise en compte des aspects fondamentaux du RGPD dès la conception d’une application.

Cependant, cette méthode ne résout pas certaines situations, parfois à la limite de la norme instaurée par le RGPD, tel que « l’e-profiling » ou la gestion du droit à l’oubli en recrutement.

Les données des candidats : source de dérive ?

L’article 17 du RGPD stipule que « toute personne est en droit de supprimer ses données personnelles quand elle estime ne plus être intéressée ou consentante par les raisons pour laquelle elle les a partagées à l’entreprise tant qu’elles ne sont pas primordiales au bon fonctionnement opérationnel de celle-ci ». Ce droit à l’oubli pose problème pour de nombreuses entreprises. En effet, dans un processus de recrutement, les entreprises ont le droit de stocker pour une durée de 2 ans les données personnelles des candidats (issues de leurs CV), mais également les données résultantes des entretiens d’embauche réalisés. L’application du droit à l’oubli après ces deux années est donc problématique tant sur le vivier de candidats que possède l’entreprise, que sur les comptes-rendus d’entretiens qui permettent de tracer les raisons pour lesquelles un candidat n’aurait pas obtenu un poste. A noter qu’une entreprise est en droit de refuser la demande d’un candidat qui souhaiterait passer outre le délai de 2 ans fixé par le RGPD et demander l’effacement de ses données personnelles, si elle estime en avoir besoin pour un motif légitime (par exemple, la gestion et le suivi des recrutements). Reste dorénavant à définir ce qui correspond à un motif légitime, afin de ne pas brider complètement les droits des utilisateurs.

A cela s’ajoute la problématique des données personnelles libres d’accès sur Internet. Il n’est pas rare que recruteurs et managers se rendent, avant l’entretien, sur les réseaux sociaux afin d’obtenir un premier avis sur le candidat. Il se peut également qu’une vérification soit faite à la fin du processus de recrutement pour confirmer un avis concernant la « qualité » du profil du candidat. Ervin Goffman explique ceci comme étant le « Tactful Inattention » : même si le recruteur se persuade qu’il fait la part des choses entre vie privée des réseaux sociaux et la vie professionnelle, son subconsient restera influencé par ce qu’il a pu découvrir et orientera ainsi sa décision.

Cette pratique bien que légale pose donc de nombreux problèmes éthiques. Ces réseaux et les données personnelles qui s’y trouvent appartiennent à la sphère privée et ne résultent en aucun cas d’un quelconque comportement professionnel.

Aujourd’hui, seule la bonne volonté des différentes parties prenantes pourrait remédier à cette problématique. Le candidat, quant à lui, a bien entendu la responsabilité de contrôler les informations disponibles à son sujet sur internet, afin d’éviter que ce type de situations puisse se produire.

Une régulation primordiale mais encore imparfaite

Le RGPD encadre extrêmement bien l’utilisation des données des utilisateurs, et même si ce nouveau règlement possède des failles, celles-ci tendent à être comblées grâce aux nombreux groupes de travail collaborant avec la CNIL dans l’objectif d’adapter les règles aux pratiques courantes des entreprises. Son application ne résout donc pas l’intégralité des problématiques liées aux données personnelles, spécifiquement pour celles utilisées dans le cadre des Ressources Humaines. Le constat est que les entreprises ont mis au premier plan la protection des données clients (synonymes de plus grandes sources d’infraction et de difficultés), afin de se conformer aux normes mises en place par le RGPD. En témoignent par exemple les premières sanctions et mises en demeures concernant Google, Uber, Bouygues Telecom ainsi que quatre startups de l’industrie du ciblage publicitaire. De ce fait, les entreprises ont principalement orienté leurs efforts sur ce domaine jugé plus critique. Les DPO et la DRH ont ainsi un rôle important à jouer pour que l’accent soit mis sur les données collaborateurs, dont l’enjeu est tout aussi important que les données personnelles de leurs clients.

Même si d’autres lois (telles que la DPD ou encore la Loi pour une République numérique) étaient déjà en vigueur avant l’arrivée du RGPD, celui-ci accélère considérablement la protection des données personnelles des citoyens Européens et devient également une source d’inspiration dans le monde (en témoigne le Japon qui a adopté une réglementation similaire au RGPD). D’autres pays doivent maintenant suivre le mouvement, et les entreprises doivent jouer le jeu du RGPD tant dans une optique pécuniaire que dans une vision éthique, qui leur permettra d’engager des comportements responsables envers les collaborateurs et les autres parties prenantes.

Cet article a été rédigé par Grégoire Basso.

Partagez cet article sur les réseaux sociaux