Enjeux du RGPD et de l’utilisation d’un SIRH

Un SIRH est une solution logicielle composée de fonctionnalités pour faciliter la gestion de l’ensemble des enjeux RH au sein d’une entreprise. Comme tout système informatique traitant des données personnelles, les SIRH sont soumis à des obligations relatives à la protection des données.

En quoi le Règlement Général sur la Protection des données influence votre usage d’un logiciel SIRH ?

Pour le traitement des données au sujet des membres de l’entreprise, les solutions et logiciels SIRH nécessitent le recensement d’informations personnelles. Ces données sont recensées, archivées et traitées au moins pendant toute la période relative au contrat de travail. Il est donc indispensable que tout logiciel ou outil de ressources humaines soit conforme au RGPD.

La conformité au RGPD concerne tous les employeurs même pour les entreprises qui n’utilisent pas un logiciel RH particulier. En effet, les premières phases de recrutement impliquent déjà les traitements de données personnelles puisque l’identité des candidats fait partie des informations transmises. Une fois le recrutement terminé, il s’agit également de se poser la question de l’archive de la candidature, si les profils et les informations relatives aux candidats non retenus sont gardées ou non… et combien de temps ? De la même manière, la gestion des paies et notamment les Déclarations Sociales Nominatives (DSN) doivent impérativement faire l’objet d’un consentement pour la transmission des informations personnelles à d’autres instances telles que la Caisse Primaire d’Assurance Maladie ou encore le Service des Impôts des Particuliers.

En résumé, le RGPD encourage les entreprises et l’ensemble des employeurs à mettre en place une politique claire en ce qui concerne les traitements des données personnelles des collaborateurs. Si l’on en parle beaucoup pour les informations relatives aux clients, dans les CRM par exemple, ces règles s’appliquent aussi pour les salariés. Saviez-vous par exemple, que les contrats de travail doivent dorénavant mentionner des clauses spécifiques au RGPD, si une convention spécifique n’a pas déjà été prévue ?

Éclairage sur les éléments constituant le RGPD

Une donnée personnelle est une information qui permet d’identifier spécifiquement une personne. Dans un effectif de 10 collaborateurs avec un seul homme, l’information de genre est une donnée personnelle. Elle permet d’identifier cette personne en particulier.

Au sein d’une entreprise et pour la gestion RH, les données retenues sont :

– nom,

– prénom,

– date de naissance,

– adresse,

– numéro de sécurité sociale,

– situation familiale.

Le parcours professionnel peut également faire partie des informations traitées notamment pour la gestion des talents au sein d’une entreprise. C’est très utile pour encourager la mobilité interne !

En ce qui concerne les données relatives à la situation familiale, elles donnent des clefs pour la gestion de l’organisation de la prise en charge de l’assurance santé (mutuelle) selon les politiques définies par l’entreprise (pourcentage de prise en charge pour le ou la salarié(e), les enfants et les conjoints.

Le traitement des données personnelles est une notion qui implique :

– l’enregistrement de la donnée,

– la façon dont elle est traitée,

– la façon dont elle est communiquée (à qui, comment),

– les politiques d’archives de la donnée.

En cas de contrôle, le DPO ou Délégué à la Protection des Données est en mesure de communiquer aux instances administratives, donc la CNIL, les données traitées ainsi que les méthodologies adoptées. Chaque donnée archivée doit être justifiée pour une finalité utile et légitime dans le cadre de votre gestion RH.

Engager une politique de transparence avec ses salariés

Selon un sondage IFOP de Novembre 2018 et publié par la CNIL quelques mois après l’instauration officielle du RGPD, les Français deviennent de plus en plus sensibles à la question de la protection des données personnelles. 66 % se déclarent plus sensibles. Les communications de la CNIL et des institutions publiques en générale vont en ce sens, renforçant la vigilance et parfois même la méfiance de la population.

Parmi les craintes les plus prégnantes, celle du piratage et du vol des données l’emporte haut la main. 22 % déclarent en effet spontanément que la fuite d’informations a accru la sensibilité à l’égard de la protection des données personnelles ces dernières années. La confidentialité et la sécurisation des informations font donc partie des principales préoccupations. Une politique de transparence sur la façon dont sont gérées les informations personnelles des salariés est donc encouragée.

Des chiffres plus récents datant de 2021 indiquent une sensibilité des Français au sujet du lieu d’hébergement des données. Déjà 69 % déclarent être attentif au traitement de leurs données personnelles sur Internet. Et près de la moitié (49 %) indique s’être déjà demandé où étaient stockées les données qui les concernent.

Ces indicateurs orientent les stratégies RH vers de plus en plus de transparence en ce qui concerne les archives et les informations conservées. Si certaines données relèvent de l’obligation légale (exemple : la BDESE pour les entreprises de plus de 50 salariés), elles restent soumises à l’obligation de conformité au RGPD.

Historique du RGPD

Vous avez du mal à y voir clair dans le Règlement Général sur la Protection des Données et ses évolutions ? Voici un historique :

– 2016 : Le RGPD remplace la directive sur la protection des données de 1995.

– 2016 : Les membres de l’Union européenne disposent d’un délai de 2 ans pour mettre en application le RGPD.

– Mai 2018 : Les États membres de l’Union européenne appliquent le RGPD. Les législations nationales sont adaptées. Les entreprises doivent désigner un Délégué à la Protection des Données (DPO).