En Europe, le RGPD oblige les départements RH à changer leur façon de gérer les données personnelles.
Si le règlement modifie la vie de l’entreprise, il impacte également la conservation des données. L’entrée en application du RGPD dans l’Union européenne depuis le 25 mai 2018 est venue bouleverser les services RH des entreprises. Et pour cause : ils collectent chaque jour des données personnelles nécessaires au bon fonctionnement de l’entreprise et de la vie professionnelle des collaborateurs.
Les RH commencent à accumuler des données personnelles dès qu’un employé potentiel soumet son CV. Ils recueillent d’autres données au cours du processus de recrutement et encore plus lors de la création du contrat de travail – pensez aux coordonnées bancaires et aux copies des diplômes. L’entreprise doit également gérer des données à caractère personnel telles que des justificatifs médicaux, des bulletins de paie et des frais de déplacement.
Les départements RH sont donc les premiers concernés par ce règlement dont l’objectif est d’encadrer le traitement des données personnelles et ainsi de respecter le droit des personnes, la confidentialité et la sécurité des données.
Gestion des données RH
Afin d’assurer la mise en conformité des entreprises, les RH doivent mettre en place des actions en interne. L’idéal est de nommer un délégué à la protection des données (DPO) pour superviser ces processus. Le RGPD implique de protéger au maximum les données à caractère personnel et de mettre en place des procédures adaptées à tous les niveaux.
Ainsi, l’accès aux données personnelles doit être ouvert uniquement aux personnes chargées du recrutement et de la gestion du personnel. L’objectif est de garantir la confidentialité et la sécurité absolue des informations telles que les coordonnées bancaires ou les numéros de sécurité sociale par exemple. La hiérarchie peut consulter sur demande certains documents dans des cas définis. Les délégués du personnel ne peuvent accéder qu’aux données contenues dans le registre du personnel.
Une collecte de données réduite au minimum
Les services RH doivent d’ailleurs créer un registre des traitements et réduire au maximum la nature et la quantité de données personnelles utilisées. Les RH doivent se limiter à la collecte de données nécessaires et indispensables à la finalité en particulier lorsqu’il s’agit de données sensibles telles que les données de santé.
Les collaborateurs, pour leur part, peuvent demander la copie de toutes leurs données personnelles, conformément au droit d’accès du RGPD. Ils disposent d’un droit de rectification en cas de données inexactes. Les RH doivent s’assurer de la mise à disposition pour les salariés des informations relatives au traitement et à l’utilisation de leurs données personnelles. Tous les traitements doivent être divulgués : la transparence est fondamentale.
Les RH doivent instaurer de nouvelles procédures pour prévenir toute violation des données personnelles et informer au mieux les collaborateurs, en les formant et en les tenant au courant des modifications de la charte informatique, par exemple. Elles peuvent recourir à une analyse d’impact relative à la protection des données (AIPD) pour prouver que les traitements à risques élevés répondent aux recommandations du RGPD.
Le respect des durées légales de conservation
Une fois qu’un salarié a quitté l’entreprise, les RH doivent supprimer ses données personnelles et ne pas les conserver indéfiniment. Elles doivent respecter la durée de conservation légale en France, qui est de cinq ans pour les bulletins de paie physiques à compter du départ du salarié ou trois ans pour les sanctions disciplinaires. Les bulletins de paie dématérialisés doivent être conservés pendant 50 ans. Pour les données qui ne relèvent pas d’une durée de conservation légale, c’est au DPO de déterminer la durée de conservation, en fonction de la finalité du document. Voir les différences entre la gestion des documents physiques et numériques.
À la suite d’un recrutement, une entreprise peut conserver les données des candidats pendant deux ans au maximum, à condition que le candidat n’ait pas demandé leur suppression. Les RH ne peuvent demander que des informations utiles au regard du poste à pourvoir.
En cas de non-respect du RGPD par les services RH, l’entreprise s’expose à quatre niveaux de sanction, allant de l’avertissement ou la mise en demeure à des sanctions administratives. En cas d’infraction grave, l’amende peut être comprise entre 2% et 4% du CA mondial ou atteindre 20 millions d’euros. Des sanctions pénales peuvent être appliquées, avec des amendes allant jusqu’à 300 000 euros et une peine d’emprisonnement pouvant aller jusqu’à 5 ans.
Nos experts peuvent vous aider dans votre stratégie de gestion des archives et vous offrir un excellent service de gestion de la documentation, partout dans le monde. N’hésitez pas à nous contacter dès aujourd’hui !