RGPD et données RH : guide pratique pour responsables du personnel

Comprendre les fondamentaux du RGPD dans la gestion RH

Vous gérez des données personnelles tous les jours sans forcément y penser. Chaque CV, contrat de travail ou fiche de paie contient des informations protégées par le RGPD. Ce règlement européen, en vigueur depuis 2018, a considérablement modifié les pratiques RH. Vous vous demandez comment naviguer dans ces obligations sans vous perdre dans le jargon juridique ? Cet article vous guide pas à pas.

Quelles sont les obligations légales pour les responsables du personnel ?

En tant que professionnel RH, vous êtes en première ligne face aux exigences du RGPD. Votre responsabilité principale ? Garantir que chaque traitement de données personnelles respecte les principes de protection des données. Concrètement, cela signifie que vous devez :

• Identifier tous les traitements de données que vous effectuez
• Déterminer une base légale pour chaque traitement (contrat, obligation légale, intérêt légitime…)
• Informer clairement vos collaborateurs sur l’utilisation de leurs données
• Mettre en place des mesures de sécurité adaptées
• Documenter votre conformité dans un registre des traitements

Vous savez, quand vous créez un nouveau formulaire pour collecter des informations sur vos salariés, vous devez vous poser cette question : “Ai-je vraiment besoin de toutes ces données ?” Le principe de minimisation vous impose de ne collecter que les informations strictement nécessaires.

Les principes clés du RGPD appliqués aux données des employés

Le RGPD repose sur sept principes fondamentaux qui s’appliquent particulièrement aux données RH :

• Licéité, loyauté et transparence : expliquez clairement pourquoi et comment vous utilisez les données
• Limitation des finalités : définissez précisément l’objectif de chaque collecte
• Minimisation des données : ne demandez que ce dont vous avez réellement besoin
• Exactitude : maintenez les informations à jour
• Limitation de la conservation : ne gardez pas les données indéfiniment
• Intégrité et confidentialité : protégez les informations contre les accès non autorisés
• Responsabilité : démontrez votre conformité

Dans la pratique, ces principes vous obligent à repenser vos processus RH. Par exemple, lorsque vous organisez un événement d’entreprise, avez-vous besoin de connaître les allergies alimentaires de tous les participants ? Si oui, combien de temps conservez-vous cette information après l’événement ?

Qui est responsable de la conformité RGPD dans votre service RH ?

La conformité RGPD n’est pas la responsabilité d’une seule personne. Elle implique plusieurs acteurs :

• Le responsable de traitement (généralement l’entreprise elle-même) qui détermine les finalités et les moyens du traitement
• Le DPO (Délégué à la Protection des Données) qui conseille et contrôle la conformité
• Les responsables RH qui mettent en œuvre les traitements au quotidien
• Les sous-traitants (éditeurs de logiciels RH, cabinets de recrutement…) qui traitent des données pour votre compte

Dans les PME, vous n’avez peut-être pas de DPO dédié. Cela ne vous dispense pas de désigner une personne référente sur ces questions. Cette personne sera chargée de sensibiliser l’équipe et de coordonner les actions de mise en conformité.

Ça vous est déjà arrivé de vous demander si vous pouviez partager un CV avec un manager sans enfreindre le RGPD ? C’est typiquement le genre de question que votre référent RGPD devrait pouvoir résoudre.

Les limites de collecte des données personnelles des salariés

Vous avez probablement l’habitude de collecter de nombreuses informations sur vos collaborateurs. Le RGPD vous impose désormais de faire le tri. Quelles données pouvez-vous légitimement demander ? Lesquelles sont excessives ? Voyons cela ensemble.

Quelles informations pouvez-vous légalement demander à vos employés ?

La règle d’or est simple : vous ne pouvez collecter que les données nécessaires à l’objectif poursuivi. Pour la gestion administrative du personnel, vous pouvez généralement demander :

• Les informations d’identité (nom, prénom, date de naissance)
• Les coordonnées professionnelles et personnelles
• Le numéro de sécurité sociale (pour les déclarations sociales)
• La situation familiale (pour les avantages sociaux)
• Les diplômes et l’expérience professionnelle
• Les coordonnées bancaires (pour la paie)
• La pièce d’identité

Les données sensibles : règles spécifiques et précautions à prendre

Le RGPD définit certaines catégories de données comme “sensibles”. Leur traitement est en principe interdit, sauf exceptions strictement encadrées. Ces données concernent :

• L’origine raciale ou ethnique
• Les opinions politiques
• Les convictions religieuses ou philosophiques
• L’appartenance syndicale
• Les données génétiques ou biométriques
• Les données de santé
• La vie sexuelle ou l’orientation sexuelle

Dans le contexte RH, vous pouvez être amené à traiter certaines de ces données sensibles. Par exemple, les données de santé pour la médecine du travail ou l’appartenance syndicale pour les représentants du personnel. Dans ces cas, vous devez mettre en place des garanties renforcées :

• Limiter strictement l’accès à ces informations
• Renforcer les mesures de sécurité (chiffrement, pseudonymisation)
• Documenter précisément la base légale du traitement
• Réaliser une analyse d’impact si nécessaire

Comment justifier la pertinence des informations collectées

Pour chaque donnée que vous collectez, posez-vous cette question : “Que se passerait-il si je ne disposais pas de cette information ?” Si la réponse est “rien de grave”, c’est probablement que cette donnée n’est pas nécessaire.

La pertinence s’évalue au regard de la finalité poursuivie. Par exemple :

• Pour la gestion de la paie : les informations bancaires sont pertinentes
• Pour l’organisation du travail : les compétences et disponibilités sont pertinentes
• Pour la formation : le parcours professionnel et les souhaits d’évolution sont pertinents

Documentez systématiquement vos choix dans votre registre des traitements. Cette démarche d’accountability vous permet de démontrer que vous avez réfléchi à la pertinence de chaque donnée collectée.

Vous avez un doute sur la légitimité de collecter certaines informations ? Consultez les recommandations de la CNIL ou votre autorité nationale de protection des données. Elles publient régulièrement des guides sectoriels très utiles.

Durées de conservation : combien de temps garder les données RH ?

Vous ne pouvez pas conserver indéfiniment les données de vos collaborateurs. Le principe de limitation de la conservation vous impose de définir des durées adaptées à chaque type de document. Comment s’y retrouver dans cette jungle de délais ?

Les périodes légales de conservation par type de document

Certaines durées de conservation sont fixées par la loi. Voici les principales :

• Dossier individuel du salarié : 5 ans après son départ
• Bulletins de paie : 5 ans
• Documents relatifs aux charges sociales : 3 ans
• Comptabilisation des horaires, des jours de travail : 1 an
• Documents relatifs aux contrôles et vérifications (URSSAF…) : 6 ans
• Déclarations d’accidents du travail : 5 ans

Pour les CV et lettres de motivation des candidats non retenus, la durée recommandée est de 2 ans maximum après le dernier contact (pour se prémunir d’éventuelles actions en discrimination).

Attention, ces durées peuvent varier selon votre pays au sein de l’Union Européenne. Vérifiez toujours la réglementation locale applicable.

Mettre en place une politique d’archivage et de suppression

Une bonne gestion des durées de conservation passe par une politique d’archivage structurée. Celle-ci distingue généralement trois phases :

1. L’archivage courant : les données actives, consultées régulièrement
2. L’archivage intermédiaire : les données conservées pour des obligations légales ou en cas de contentieux
3. La suppression ou l’anonymisation : l’effacement définitif ou la transformation en données anonymes

Pour mettre en œuvre cette politique, vous pouvez :

• Créer un tableau récapitulatif des durées par type de document
• Paramétrer des alertes dans vos logiciels RH
• Organiser des revues périodiques de vos bases de données
• Former votre équipe aux bonnes pratiques d’archivage

L’anonymisation peut être une alternative à la suppression pour les données que vous souhaitez conserver à des fins statistiques. Elle doit être irréversible pour sortir du champ d’application du RGPD.

Que faire des données après le départ d’un salarié ?

Le départ d’un salarié ne signifie pas que vous devez immédiatement supprimer toutes ses données. Certaines informations doivent être conservées pour des obligations légales ou des intérêts légitimes :

• Les éléments nécessaires à la délivrance d’attestations (emploi, formation…)
• Les informations requises en cas de contrôle administratif
• Les données utiles en cas de contentieux

En revanche, d’autres données deviennent rapidement inutiles après le départ : accès informatiques, badge d’accès, coordonnées professionnelles… Ces informations doivent être supprimées sans délai.

Vous pouvez également être confronté à des demandes d’effacement de la part d’anciens salariés. Évaluez chaque demande au regard des obligations légales qui s’imposent à vous. Si vous refusez un effacement, motivez clairement votre décision.

Les droits des salariés sur leurs données personnelles

Le RGPD a considérablement renforcé les droits des personnes concernées. Vos collaborateurs peuvent exercer ces droits à tout moment. Comment y répondre efficacement sans perturber votre fonctionnement ?

Comment répondre aux demandes d’accès et de rectification

Le droit d’accès permet à vos salariés de savoir quelles données vous détenez sur eux et comment vous les utilisez. Pour y répondre correctement :

1. Vérifiez l’identité du demandeur (pour éviter les usurpations)
2. Rassemblez toutes les données concernant la personne
3. Fournissez une copie des données dans un format compréhensible
4. Expliquez les finalités du traitement, les destinataires et les durées de conservation
5. Informez la personne de ses autres droits (rectification, effacement…)

Le délai légal de réponse est d’un mois, prolongeable de deux mois en cas de demande complexe.

Pour les demandes de rectification, vérifiez l’exactitude des nouvelles informations fournies avant de procéder à la mise à jour. N’oubliez pas d’informer les éventuels destinataires de ces données (par exemple, les organismes de prévoyance).

Le droit à l’effacement et ses limites dans le contexte RH

Le fameux “droit à l’oubli” permet à vos collaborateurs de demander la suppression de leurs données personnelles. Toutefois, ce droit n’est pas absolu, particulièrement dans le contexte RH.

Vous pouvez refuser une demande d’effacement lorsque la conservation des données est nécessaire pour :

• Respecter une obligation légale (conservation des bulletins de paie, par exemple)
• Faire valoir des droits en justice (en cas de contentieux potentiel)
• Exécuter un contrat en cours (pour un salarié toujours en poste)

En cas de refus, expliquez clairement les raisons à la personne concernée et informez-la de son droit de réclamation auprès de l’autorité de contrôle (la CNIL en France).

Pour les données que vous n’êtes pas légalement tenu de conserver, procédez à l’effacement sans délai.

Gérer les oppositions au traitement des données

Le droit d’opposition permet à vos collaborateurs de s’opposer au traitement de leurs données pour des raisons tenant à leur situation particulière. Ce droit s’applique principalement aux traitements fondés sur l’intérêt légitime de l’entreprise.

Face à une opposition, vous devez :

1. Examiner attentivement les motifs invoqués
2. Suspendre temporairement le traitement pendant l’analyse
3. Démontrer, si vous souhaitez poursuivre le traitement, que vos motifs légitimes prévalent sur les intérêts de la personne

Par exemple, un salarié pourrait s’opposer à figurer dans un trombinoscope interne. Vous devrez alors évaluer si votre intérêt à faciliter la communication interne l’emporte sur ses préoccupations personnelles.

Certains traitements ne sont pas susceptibles d’opposition, notamment ceux nécessaires à l’exécution du contrat de travail ou au respect d’obligations légales.

Mesures pratiques pour sécuriser les données du personnel

La sécurité des données personnelles est une obligation fondamentale du RGPD. Une fuite de données RH peut avoir des conséquences graves : atteinte à la vie privée, usurpation d’identité, sanctions financières… Comment protéger efficacement ces informations sensibles ?

Sécuriser l’accès aux dossiers RH physiques et numériques

Pour les dossiers physiques, adoptez ces bonnes pratiques :

• Stockez-les dans des armoires fermées à clé
• Limitez l’accès aux seules personnes habilitées
• Tenez un registre des consultations
• Ne laissez jamais de documents sensibles sans surveillance
• Utilisez un destructeur de documents pour les papiers confidentiels

Pour les données numériques, mettez en place :

• Des mots de passe robustes, changés régulièrement
• Une authentification à deux facteurs pour les accès sensibles
• Des droits d’accès différenciés selon les profils utilisateurs
• Le chiffrement des données sensibles
• Des sauvegardes régulières et sécurisées
• Des journaux d’accès pour tracer les consultations

Vous savez, quand vous envoyez un fichier contenant des données personnelles par email, vous prenez un risque. Privilégiez plutôt des solutions de partage sécurisées avec des liens à durée limitée.

Les précautions à prendre avec les prestataires externes

Vos prestataires RH (éditeurs de logiciels SIRH, cabinets de recrutement, experts-comptables…) sont considérés comme des sous-traitants au sens du RGPD. Vous restez responsable des données que vous leur confiez.

Pour vous protéger, vous devez :

• Sélectionner des prestataires offrant des garanties suffisantes
• Signer un contrat de sous-traitance conforme à l’article 28 du RGPD
• Préciser les mesures de sécurité attendues
• Encadrer les transferts de données hors UE
• Prévoir des audits de sécurité

Attention aux outils gratuits en ligne ! Ils peuvent utiliser vos données à des fins commerciales ou ne pas offrir un niveau de sécurité suffisant. Lisez toujours les conditions d’utilisation avant de confier des données RH à un service en ligne.

Que faire en cas de violation de données ?

Malgré toutes les précautions, une violation de données peut survenir : piratage, perte d’un ordinateur, erreur d’envoi… Dans ce cas, vous devez agir rapidement :

1. Contenir la brèche pour limiter les dégâts
2. Évaluer les risques pour les personnes concernées
3. Notifier l’incident à l’autorité de contrôle dans les 72 heures si nécessaire
4. Informer les personnes concernées en cas de risque élevé
5. Documenter l’incident et les mesures prises

La notification n’est pas obligatoire si la violation n’engendre pas de risque pour les droits et libertés des personnes. Par exemple, si les données étaient chiffrées et que la clé de déchiffrement n’a pas été compromise.

Préparez-vous en amont en établissant une procédure de gestion des violations de données. Désignez les responsables, préparez des modèles de notification et formez votre équipe aux réflexes à avoir.

Et maintenant, comment mettre en œuvre ces principes dans votre service ?

La conformité RGPD n’est pas une destination, mais un voyage continu. Comment passer de la théorie à la pratique dans votre service RH ? Voici une feuille de route pour vous guider.

Créer votre registre de traitement des données RH

Le registre des traitements est la pierre angulaire de votre conformité RGPD. Pour les activités RH, il doit recenser :

• Tous les traitements de données personnelles (recrutement, gestion administrative, formation…)
• Les catégories de données et de personnes concernées
• Les finalités poursuivies
• Les bases légales utilisées
• Les durées de conservation
• Les mesures de sécurité mises en place
• Les destinataires des données
• Les éventuels transferts hors UE

Commencez par cartographier vos traitements existants. Interrogez les différents acteurs de votre service pour n’oublier aucun flux de données. Utilisez ensuite un modèle de registre (la CNIL en propose un) pour formaliser ces informations.

Ce registre n’est pas figé. Mettez-le à jour à chaque nouveau traitement ou modification significative.

Former votre équipe aux bonnes pratiques RGPD

La conformité RGPD repose en grande partie sur les comportements quotidiens de votre équipe. Une formation adaptée est donc indispensable.

Organisez des sessions de sensibilisation couvrant :

• Les principes fondamentaux du RGPD
• Les droits des personnes concernées
• Les réflexes de sécurité à adopter
• Les procédures internes à suivre
• Les sanctions encourues en cas de non-conformité

Adaptez le contenu au niveau de responsabilité de chacun. Un gestionnaire de paie n’a pas besoin des mêmes connaissances qu’un responsable recrutement.

Prévoyez des rappels réguliers et des mises à jour. La protection des données n’est pas un sujet qu’on aborde une fois pour toutes.

Les outils qui vous aideront à rester conforme

Plusieurs solutions peuvent faciliter votre conformité RGPD au quotidien :

• Logiciels de gestion des consentements : pour tracer les autorisations données par vos collaborateurs
• Outils de gestion des demandes d’exercice des droits : pour centraliser et suivre les requêtes
• Solutions de chiffrement : pour protéger les données sensibles
• Logiciels d’archivage à valeur probante : pour gérer les durées de conservation
• Plateformes de transfert sécurisé : pour partager des documents confidentiels

N’oubliez pas que l’outil le plus efficace reste la vigilance humaine. Aucune solution technique ne remplacera une équipe bien formée et consciente des enjeux.

La mise en conformité RGPD peut sembler complexe, mais elle représente aussi une opportunité d’améliorer vos processus RH. En adoptant une approche privacy by design, vous gagnerez en efficacité et en confiance auprès de vos collaborateurs.

Vous cherchez un accompagnement personnalisé pour sécuriser vos pratiques RH face au RGPD ? Aoria RH propose des solutions adaptées aux TPE et PME, avec une approche centrée sur l’humain. Contactez-nous pour un premier échange gratuit et sans engagement.