Salariés, candidats : comment gérer vos données RH en conformité avec le RGPD ?
12 May 2022
Applicable depuis le 25 mai 2018, le RGPD (Règlement général sur la protection des données) concerne toutes les entreprises en France, quelle que soit leur taille. En plus des fichiers clients et fournisseurs, vous gérez forcément, en tant qu’employeur, des données personnelles sur vos salariés et candidats. Voici quelques conseils pour traiter ces informations RH dans le respect du RGPD.
Étape 1 : identifier toutes les données personnelles traitées par l’entreprise
Pour rappel, une « donnée personnelle » ou « donnée à caractère personnel» correspond à toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Il peut s’agir du nom et des coordonnées d’un employé ou d’un candidat, bien sûr, mais également d’une photo, d’une vidéo, d’un numéro de sécurité sociale, d’indications sur son parcours, ses goûts ou sa famille (ayants-droit, personne à prévenir en cas d’urgence, etc.).Les données professionnelles (ex : adresse email professionnelle, numéro de téléphone professionnel) sont aussi des données personnelles soumises au respect du RGPD !
TPE, PME ou grand groupe : les entreprises stockent toutes ce type d’informations sur leurs salariés afin de faciliter les démarches administratives et répondre aux exigences légales. Pour vous assurer que vous traitez ces données conformément au RGPD, il vous faut tout d’abord recenser les fichiers (en version informatique ou papier) existants au sein de votre structure.
Avec l’aide des services concernés, pensez notamment aux données utilisées pour :
- la gestion de la paie ;
- le registre unique du personnel ;
- le recrutement de nouveaux salariés ;
- l’organisation de l’équipe (photos dans un trombinoscope, coordonnées dans un annuaire…) ;
- la formation ;
- la sécurisation des locaux ou des biens de l’entreprise (vidéosurveillance, géolocalisation des véhicules…) ;
- etc.
Vous externalisez la gestion de la paie ou le recrutement ? Votre sous-traitant est lui aussi tenu de respecter le RGPD. Il a, de plus, une obligation d’alerte et de conseil en matière de protection des données.
> À lire aussi : RGPD : 5 actions que votre entreprise peut mettre en place
Étape 2 : faire le tri parmi les données conservées et établir un registre RGPD
Vous avez listé tous les fichiers contenant des informations personnelles ? Vous devez maintenant établir un « registre des activités de traitement », précisant la finalité de chaque fichier et le type des données collectées. La CNIL (Commission nationale de l’informatique et des libertés), responsable de la bonne application du RGPD en France, met à votre disposition un modèle de registre RGPD pour vous aider.
Profitez-en pour faire le ménage dans vos fichiers : supprimez les données qui ne sont pas indispensables et fixez une durée de conservation maximale pour chaque type de données. Certaines durées sont laissées à l’appréciation du responsable du fichier, d’autres sont imposées par la loi. Ainsi, vous ne pouvez pas conserver les données personnelles d’un candidat non retenu plus de 2 ans(et sous réserve qu’il accepte formellement de rester dans votre vivier pendant ce délai). La CNIL vous propose un guide pratique sur les durées de conservation pour y voir plus clair.
Les informations personnelles recueillies auprès des employés et candidats doivent être pertinentes et proportionnées par rapport à l’objectif pour lequel vous collectez ces données. Nul besoin, par exemple, de demander à un candidat en phase d’entretien son numéro de sécurité sociale. Les informations liées à la religion, à la santé, aux opinions politiques ou à l’activité syndicale de vos salariés ne peuvent pas non plus être collectées, sauf dans des cas très particuliers et strictement encadrés. En cas de contrôle, la CNIL pourra réclamer le registre des activités de traitement de l’entreprise.
Étape 3 : informer vos équipes et leur donner la possibilité d’exercer leurs droits
Lorsque vous demandez des informations à vos collaborateurs ou à des candidats, le RGPD vous impose d’être transparent sur l’utilisation de ces données RH. Informez-les des modalités de traitement et des conditions d’exercice de leurs droits : droit d’accès, d’opposition, de rectification, de limitation, d’effacement, de portabilité des données. Rappelez-vous notamment que vos salariés et anciens salariés peuvent solliciter une copie des informations les concernant (bulletins de salaires, emails, entretiens d’évaluation, utilisation du badge…).
Soyez réactif et prévoyez le processus adéquat en interne pour répondre dans les meilleurs délais aux requêtes : le RGPD fixe un délai d’un mois maximum pour une « demande simple ».
Étape 4 : sécuriser les données RH de vos collaborateurs
En tant qu’employeur, vous détenez de nombreuses données personnelles et confidentielles sur vos salariés : coordonnées bancaires, numéro de sécurité sociale… Vous êtes tenu de garantir au mieux la sécurité de ces données, par la mise en place de mesures informatiques et physiques.
> À lire aussi : Télétravail et cybersécurité : comment protéger les données de votre entreprise ?
Quelques bonnes pratiques en matière de protection des données RH :
- rappelez à votre équipe les règles élémentaires de sécurité (choix d’un mot de passe long et complexe, verrouillage de son ordinateur, procédure de sauvegarde…) ;
- sensibilisez vos collaborateurs aux enjeux autour du traitement de données personnelles (respecter la confidentialité des données, ne pas les divulguer à des personnes non habilitées, n’accéder qu’aux données dont on a besoin, prévoyez des durées de conservation limitées…).
Chacun est concerné par le RGPD, en tant que professionnel en relation avec des clients, des fournisseurs ou des collègues… mais aussi en tant que citoyen !
Vous souhaitez simplifier vos recrutements en CDD, en CDI, en intérim ou en alternance ? Adecco vous accompagne, dans le respect, bien sûr, du RGPD ! Rendez-vous en agence ou sur votre portail entreprise Adecco.
Applicable depuis le 25 mai 2018, le RGPD (Règlement général sur la protection des données) concerne toutes les entreprises en France, quelle que soit leur taille. En plus des fichiers clients et fournisseurs, vous gérez forcément, en tant qu’employeur, des données personnelles sur vos salariés et candidats. Voici quelques conseils pour traiter ces informations RH dans le respect du RGPD.
Étape 1 : identifier toutes les données personnelles traitées par l’entreprise
Pour rappel, une « donnée personnelle » ou « donnée à caractère personnel» correspond à toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Il peut s’agir du nom et des coordonnées d’un employé ou d’un candidat, bien sûr, mais également d’une photo, d’une vidéo, d’un numéro de sécurité sociale, d’indications sur son parcours, ses goûts ou sa famille (ayants-droit, personne à prévenir en cas d’urgence, etc.).Les données professionnelles (ex : adresse email professionnelle, numéro de téléphone professionnel) sont aussi des données personnelles soumises au respect du RGPD !
TPE, PME ou grand groupe : les entreprises stockent toutes ce type d’informations sur leurs salariés afin de faciliter les démarches administratives et répondre aux exigences légales. Pour vous assurer que vous traitez ces données conformément au RGPD, il vous faut tout d’abord recenser les fichiers (en version informatique ou papier) existants au sein de votre structure.
Avec l’aide des services concernés, pensez notamment aux données utilisées pour :
- la gestion de la paie ;
- le registre unique du personnel ;
- le recrutement de nouveaux salariés ;
- l’organisation de l’équipe (photos dans un trombinoscope, coordonnées dans un annuaire…) ;
- la formation ;
- la sécurisation des locaux ou des biens de l’entreprise (vidéosurveillance, géolocalisation des véhicules…) ;
- etc.
Vous externalisez la gestion de la paie ou le recrutement ? Votre sous-traitant est lui aussi tenu de respecter le RGPD. Il a, de plus, une obligation d’alerte et de conseil en matière de protection des données.
> À lire aussi : RGPD : 5 actions que votre entreprise peut mettre en place
Étape 2 : faire le tri parmi les données conservées et établir un registre RGPD
Vous avez listé tous les fichiers contenant des informations personnelles ? Vous devez maintenant établir un « registre des activités de traitement », précisant la finalité de chaque fichier et le type des données collectées. La CNIL (Commission nationale de l’informatique et des libertés), responsable de la bonne application du RGPD en France, met à votre disposition un modèle de registre RGPD pour vous aider.
Profitez-en pour faire le ménage dans vos fichiers : supprimez les données qui ne sont pas indispensables et fixez une durée de conservation maximale pour chaque type de données. Certaines durées sont laissées à l’appréciation du responsable du fichier, d’autres sont imposées par la loi. Ainsi, vous ne pouvez pas conserver les données personnelles d’un candidat non retenu plus de 2 ans(et sous réserve qu’il accepte formellement de rester dans votre vivier pendant ce délai). La CNIL vous propose un guide pratique sur les durées de conservation pour y voir plus clair.
Les informations personnelles recueillies auprès des employés et candidats doivent être pertinentes et proportionnées par rapport à l’objectif pour lequel vous collectez ces données. Nul besoin, par exemple, de demander à un candidat en phase d’entretien son numéro de sécurité sociale. Les informations liées à la religion, à la santé, aux opinions politiques ou à l’activité syndicale de vos salariés ne peuvent pas non plus être collectées, sauf dans des cas très particuliers et strictement encadrés. En cas de contrôle, la CNIL pourra réclamer le registre des activités de traitement de l’entreprise.
Étape 3 : informer vos équipes et leur donner la possibilité d’exercer leurs droits
Lorsque vous demandez des informations à vos collaborateurs ou à des candidats, le RGPD vous impose d’être transparent sur l’utilisation de ces données RH. Informez-les des modalités de traitement et des conditions d’exercice de leurs droits : droit d’accès, d’opposition, de rectification, de limitation, d’effacement, de portabilité des données. Rappelez-vous notamment que vos salariés et anciens salariés peuvent solliciter une copie des informations les concernant (bulletins de salaires, emails, entretiens d’évaluation, utilisation du badge…).
Soyez réactif et prévoyez le processus adéquat en interne pour répondre dans les meilleurs délais aux requêtes : le RGPD fixe un délai d’un mois maximum pour une « demande simple ».
Étape 4 : sécuriser les données RH de vos collaborateurs
En tant qu’employeur, vous détenez de nombreuses données personnelles et confidentielles sur vos salariés : coordonnées bancaires, numéro de sécurité sociale… Vous êtes tenu de garantir au mieux la sécurité de ces données, par la mise en place de mesures informatiques et physiques.
> À lire aussi : Télétravail et cybersécurité : comment protéger les données de votre entreprise ?
Quelques bonnes pratiques en matière de protection des données RH :
- rappelez à votre équipe les règles élémentaires de sécurité (choix d’un mot de passe long et complexe, verrouillage de son ordinateur, procédure de sauvegarde…) ;
- sensibilisez vos collaborateurs aux enjeux autour du traitement de données personnelles (respecter la confidentialité des données, ne pas les divulguer à des personnes non habilitées, n’accéder qu’aux données dont on a besoin, prévoyez des durées de conservation limitées…).
Chacun est concerné par le RGPD, en tant que professionnel en relation avec des clients, des fournisseurs ou des collègues… mais aussi en tant que citoyen !
Vous souhaitez simplifier vos recrutements en CDD, en CDI, en intérim ou en alternance ? Adecco vous accompagne, dans le respect, bien sûr, du RGPD ! Rendez-vous en agence ou sur votre portail entreprise Adecco.