Données personnelles et RH, comment vous protéger ?

Date de publication : 2 décembre 2020

Depuis mai 2018, le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur. Sa vocation ? Fixer un ensemble de procédures qui protègent la vie privée. L’essence même de l’activité RH repose sur la collecte, et donc l’utilisation de données personnelles. Vous êtes ainsi directement concerné.

Quelles sont les mesures à prendre ? Quelles sont les informations dites « sensibles » ? Devez-vous renforcer votre cybersécurité ?

La nécessaire protection des données personnelles

Mais qu’est-ce qui pousse la réglementation à devoir s’exercer avec autant de conviction ?

4 facteurs essentiels la motivent :

La dématérialisation qui généralise le foisonnement des données ;
La transformation numérique des entreprises, qui accélère la circulation des data ;
La propension à recueillir les informations et les échanges numériques de façon beaucoup plus systématique ;
La démultiplication des attaques informatiques, et l’agilité spectaculaire des hackers.

Toutes les organisations qui recrutent et gèrent des collaborateurs collectent et utilisent également des données personnelles. Celles-ci dépassent largement le simple « nom, prénom, coordonnées » et ne doivent pas s’échapper.

En recrutement, vous brassez des mines d’information : des CV complets, vos bases de données, vos formulaires, vos rapports d’évaluation.

Dans la gestion administrative et sociale des collaborateurs, la matière première qui permet de déployer la politique interne constitue également une masse de données sensibles : des précisions qui disent beaucoup de vous, votre évolution, vos formations, vos résultats. Votre employeur ou votre CSE manient des données détaillées relatives à votre vie privée. Les exemples concrets seraient nombreux à énumérer : carte d’identité, permis de conduire, trombinoscopes, pages du livret de famille, vaccinations parfois, mais aussi personne à contacter, revenus et composition du ménage.

Vous doutiez encore du caractère personnel des données que vous détenez en GRH ? Aujourd’hui, l’une de vos responsabilités consiste à mettre à l’abri ces data, car explosives entre de mauvaises mains.

Le point sur les mesures du RGPD en RH

La mise en place du RGPD a pu déstabiliser les organisations, leur imposant de faire évoluer leurs outils et leurs pratiques. Elles se sont souvent concentrées sur les fichiers clients et leur CRM. Toujours est-il que les équipes RH ont dû elles aussi se sensibiliser et agir différemment.

Qu’est-ce qui change dans le quotidien des ressources humaines vis-à-vis des données personnelles sensibles ? Quels outils ou mesures devez-vous respecter ?

Différencier et repenser les principes de collecte, utilisation, transfert et stockage des informations : à chacun correspondent une phase de risque et un mode opératoire.
Tenez un registre de données du personnel réaliste et actualisé en permanence : il décrit précisément quelles data, concernant qui, pour quoi faire, pendant combien de temps. De plus, il est la preuve par excellence de votre régularité au regard de la loi, tout en offrant un outil synthétique, idéal pour le pilotage.
Appliquez une durée de conservation des data, puis supprimez-les.
Reliez ce que vous collectez aux fondements juridiques : les informations en relation directe avec l’exécution du contrat de travail, vos obligations légales, l’intérêt légitime. Informez correctement vos collaborateurs, obtenez leur autorisation et donnez-leur l’accès que vous leur devez.
En recrutement, ne collectez que les data utiles à la mission. À ce stade, vous n’avez pas légitimité à demander un numéro INSEE ou copie d’un livret de famille.
Contrôlez l’activité de vos salariés si vous le souhaitez, mais n’empiétez pas sur leur vie privée.
Cultivez la confidentialité : accéder aux informations sensibles, cela veut dire être habilité pour cela, avec des raisons légitimes.
Cybersécurité, protégez et protégez encore ! Tenez vos systèmes à jour, avec des logs complexes et renouvelables, pour tracer les actions menées. Sauvegardez de façon très sécurisée, masquez votre Wifi et utilisez la liste blanche. Équipez-vous de pare-feu et d’outils antipiratage performants. Suivez les préconisations de la CNIL pour crypter les données et gérer les mots de passe.

Le concept de « données personnelles » sensibilise chaque jour davantage d’individus. En tant qu’employeur, jouer le jeu d’une vraie garantie en matière de protection revient à alimenter la confiance de vos équipiers.