Les conséquences du RGPD sur les données RH de l'entreprise

À partir du 25 mai 2018, le RGPD prendra pleinement effet. Ce nouveau règlement sur la protection des données ne concerne pas seulement les clients de l’entreprise, il aura également d’importantes répercussions sur les RH et la gestion du personnel. On l’oublie souvent, mais dans la pratique, les entreprises détiennent de nombreuses données personnelles sur leurs collaborateurs. Le RGPD invite les entreprises à se poser des questions sur la gouvernance de ces données : protection, collecte, diffusion, conservation… Et si nécessaire, d’en améliorer la protection. Grand-angle sur les impacts du RGPD sur les RH.

L’importance de l’information

Au moment où un salarié accepte de travailler au sein d’une entreprise, il a certainement donné son consentement pour que l’entreprise puisse utiliser ses données personnelles à diverses fins. Et bien, le RGPD obligera les entreprises à informer de manière claire leurs salariés sur l’utilisation de leurs données. Cela pourra être réalisé par exemple par l’insertion d’une clause d’information sur leurs droits dans leur contrat de travail.

En outre, les entreprises devront donner à leurs collaborateurs la possibilité de de donner ou de retirer à tout moment leur consentement quant à l’usage de leur image (trombinoscope d’entreprise).

Conservation des données

Dans le cadre du RGPD comme de la loi Informatique et libertés, les entreprises n’ont le droit de conserver les données de leur personnel que tant qu’elles en ont besoin. Ainsi, on devra archiver les données des collaborateurs lmors de leurs départ puis les supprimer après la durée de prescription légale.

Pour se conformer au RGPD, les entreprises devront également mettre en place un système de gestion des données qui permet de centraliser toutes les informations sur les collaborateurs et offrant la possibilité de supprimer définitivement les données qui ne sont plus utiles : par exemple la copie ou l’attestation de carte vitale après embauche.

L’obligation d’information et finalité stricte du traitement des données

Les entreprises devront informer leurs collaborateurs sur l’usage qu’elles feront des données de ces derniers. Et en vertu du RGPD, les entreprises ne sont pas autorisées à utiliser les données de leurs collaborateurs à des fins autres que celles prévues initialement ni des les diffuser à des destinataires non habilités sans leur consentement (ex : Instances représentatives du personnel).

L’obligation de notification en cas de violation des données

Une des raisons qui ont conduit le législateur européen à mettre en place le RGPD est la lutte contre le piratage et les cyberattaques. Mais surtout, le législateur a voulu forcer les entreprises à mettre en place des mesures de sécurité plus efficaces pour prévenir ce type d’attaque. Ainsi, en cas de violation de données, les entreprises sont désormais obligées de notifier la personne concernée, en l’occurrence le salarié, au plus tard 72 heures après la découverte de la violation.

Minimisation des données

Le RGPD n’interdit pas la vérification des antécédents judiciaires si cela s’impose (accès à des emplois sensibles). Cette vérification ne doit cependant pas être systématique. Seules les données nécessaires doivent être collectées.