RGPD : Gérer les données des ressortissants Européens

Article paru le 26 juin 2018 | Partager sur les réseaux sociaux

Classé dans : Ressources humaines RGPD

À la veille de l’entrée en vigueur du nouveau Règlement Général sur la Protection des Données (RGPD), une entreprise sur trois se disait préoccupée par sa capacité à se conformer au futur règlement [1].

La complexité de cette tâche réside, entre autres, dans l’incapacité des DSI et métiers à fournir des dossiers d’architecture technique (DAT) fiables et à jour. En effet, selon cette même étude, 27% des entreprises françaises « ne sont pas certaines » de savoir où sont stockées toutes leurs données. A cela s’ajoute la problématique des données transfrontalières, soumises à des normes de conservation différentes selon les pays impliqués.

Les SIRH à l’heure du RGPD

mc²i groupe accompagne aujourd’hui des sociétés multinationales avec des applications mutualisées, notamment dans le domaine SIRH (recrutement, évaluation, gestion des talents, mobilité, etc.). Ces solutions, qui gèrent donc des données personnelles de ressortissants européens, sont soumises au RGPD et à ses thématiques phares, notamment sur la conservation des données et l’Exercice des droits [2].

Une question récurrente chez les grands groupes concerne la durée de conservation transfrontalière des données personnelles. Prenons le cas concret d’un collaborateur français ayant travaillé dix ans aux Etats-Unis. La CNIL préconise de conserver ses données au plus-tard jusqu’au départ de ce collaborateur (sauf cas particulier [3]). Pour le service juridique américain, celles-ci doivent rester ad vitam aeternam dans la Base De Données (BDD) par crainte d’un éventuel procès. Aucune loi américaine ne limite la conservation des données contrairement à l’UE [4].

La gestion transfrontalière de la donnée

Il faut donc trouver le moyen technique et un processus industrialisable pour distinguer la donnée par pays, par année, et cibler sa suppression par une purge. De manière plus chirurgicale, il peut également être possible d’effectuer une purge de masse par pays « historique », c’est-à-dire le pays où était le collaborateur l’année que l’on souhaite purger.

Il est également possible de faire signer une décharge au collaborateur, qui s’engage à ne pas poursuivre son employeur sur la base d’une donnée dont il a demandé la suppression (dans le cadre du « droit à l’oubli »).

Autre solution envisageable, le recours à une base d’archivage intermédiaire. Celle-ci doit disposer des mêmes infrastructures de sécurité que la BDD de production (dite active), mais doit en plus disposer d’un accès plus restreint et des revues des habilitations. Ainsi, cette nouvelle base pourra recueillir des données au-delà de leurs durées de conservation conventionnelles, dans l’optique de se protéger contre l’éventuel risque de contentieux.

D’autre part, s’il agit d’information à caractère marketing, alors la possibilité d’anonymiser les données peut être envisagée.

La pertinence de la conservation

Le coût de mise en œuvre des solutions abordées peut s’avérer très élevé, et il est nécessaire de se questionner sur l’efficience de stocker cette donnée au delà de la limite légale. L’intérêt supposé de sa détention est-il supérieur à son coût de conservation ? Conserver une donnée au-delà de la limite réglementaire est onéreux et expose les entreprises à des sanctions du RGPD [5], qu’en est-il de l’avantage à la détenir ?

Le RGPD apporte tout un lot de questionnement, de refonte des processus actuels et de nouveaux challenges pour les sociétés traitants des données UE. Mais c’est également l’opportunité de s’améliorer, de se différentier et de gagner la bataille du respect de la vie privée, de plus en plus importante pour les collaborateurs et les consommateurs que nous sommes.

Article rédigé par Mustapha Sebbah

Notes

[1Etude Senzing, février 2018, basée sur les avis de plus de 1 000 cadres supérieurs d’entreprises en UE

[4Pour l’heure, aucun texte de loi ne fixe de durée de conservation pour les données à caractère privé

[5Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu

Partagez cet article sur les réseaux sociaux