Ressources humaines et application du RGPD : les 5 erreurs les plus courantes

Il est désormais fortement recommandé – voire obligatoire en fonction des obligations à charge de l’entreprise sur certains aspects liés au traitement des données personnelles – de se conformer aux obligations légales et ce, notamment, en matière de gestion des ressources humaines. Une charge importante pèse sur l’employeur, de garantir une sécurité effective aux données personnelles de ses salariés et de veiller au respect de leurs droits.

Pourtant, dans la pratique, on observe encore de nombreuses erreurs commises par les services des ressources humaines. Nous vous proposons ici de passer en revue les cinq erreurs les plus courantes commises par les services RH ou l’employeur et les bonnes pratiques à mettre en place pour y remédier.

Erreur n°1 – Collecter bien trop d’informations

Quelle est l’erreur commise ?

Dans l’exercice de vos fonctions en tant que chargé RH, vous êtes amené à collecter des données personnelles dans trois situations bien particulières :

• Au moment de la passation des entretiens d’embauche, en passant en revue diverses candidatures.
• Au moment du recrutement d’un candidat, via la signature de son contrat de travail et la réalisation des formalités subséquentes.
• Lors de la vie du contrat de travail : changement ou évolution de poste, évaluations annuelles, calcul des cotisations sociales, etc.

Vous aurez entre vos mains un flux conséquent de données et, pour chaque étape, la même question qui se répétera : quelles données puis-je collecter ?

Parfois, surtout au moment du recrutement, la tentation est grande de collecter un maximum d’informations sur un candidat, surtout pour tenter de dénicher la perle rare. Or, il s’agit d’une erreur bien trop souvent commise par les services RH : la collecte de données inutiles ou superflues.

L’objectif de base semble raisonnable. Il faut faire le tri entre toutes les candidatures reçues, s’assurer de tout savoir sur un candidat pour un poste spécifique et éviter les mauvaises surprises, collecter les informations essentielles sur un salarié pour réaliser les démarches administratives. Parmi toutes ces questions, bien souvent des données seront collectées au seul motif du « On ne sait jamais, cela peut servir ».

Or cela va à l’encontre d’un principe posé par le RGPD, celui de la minimisation des données.

Le principe de minimisation des données fait partie des recommandations instaurées par le RGPD pour permettre un traitement des données personnelles raisonnable et respectueux des droits des personnes et éviter ainsi tous les débordements.

En soi, ce principe est relativement simple : on ne peut collecter et traiter que les données qui sont strictement nécessaires pour répondre à la finalité du traitement.

En plus concret : on ne collecte que les données dont on a besoin par rapport à l’objectif que l’on s’est fixé (art. 5.1 c) RGPD).

Voici quelques exemples de collectes de données qui ne répondent pas à ce principe :

• Collecter le numéro de sécurité sociale de tous les candidats lors des entretiens d’embauche (que ferez-vous des numéros des candidats non retenus ?).
• Conserver des données obsolètes sur un salarié.
• Demander à un candidat des informations sur sa situation familiale et sur sa vie privée.
• Installer des caméras de vidéosurveillance dans les toilettes de l’entreprise.

Comment mettre en place le principe de minimisation des données en RH ? 

On s’interroge sur la nécessité de la donnée collectée ! En ai-je vraiment besoin ? Si oui, pourquoi ?

Dès lors que la réponse est « peut-être que j’en aurai besoin » ou « on ne sait jamais », il est préférable d'éviter la collecte de la donnée en question.

Il s'agit donc de se poser les questions suivantes :

• De quelles données ai-je strictement besoin ? La donnée doit être pertinente et en lien avec la finalité du traitement.
• Est-ce que cette donnée m’est indispensable ? S’il existe une solution alternative pour réaliser le traitement en question, on privilégiera ladite solution et on ne collectera pas de données superflues.

Erreur n°2 – Conserver des données inutiles

Quelle est l’erreur commise ?

Cette erreur est souvent réalisée :

• Au moment du recrutement, le service RH conservant des données des candidats n’ayant pas été retenus à un poste.
• Pendant l’exécution du contrat de travail, le service RH conservant des données obsolètes sur des salariés en poste (ex : si le salarié a déménagé et que l’entreprise a conservé son ancienne adresse).

Le RGPD, la Commission Nationale Informatique et Libertés (dite « CNIL »), et la Loi Informatique et Libertés ont rappelé que les données ne pouvaient pas être conservées pour des durées illimitées. Vous avez deux cas de figure :

• Soit la loi impose une durée de conservation d’une donnée spécifique.
• Soit la loi est silencieuse. Il appartient donc au responsable de traitement de fixer lui-même la durée de conservation de la donnée. Mais il doit fixer une durée proportionnée au regard de l’objectif et du but poursuivis.

Une fois les délais passés (fixés par la loi ou par le responsable de traitement), les données doivent être supprimées ou anonymisées. On parle par exemple de "purger" les données dans le cadre d'un SIRH.

Comment mettre en place des durées de conservation adéquates pour les données traitées par les RH ?

Concernant vos candidats, la CNIL a posé une obligation de suppression des données personnelles du candidat jusqu’à une durée de deux ans après la dernière sollicitation restée sans réponse (délibération de la CNIL 2022). C’est-à-dire si au bout de deux ans, vous n’avez pas de réponse d’un candidat, vous devez supprimer ses données personnelles en votre possession.

Concernant les données obsolètes de vos salariés en poste, vous devez vous assurer que toutes les données en votre possession sont exactes et tenues à jour. Toutes les données inexactes doivent être supprimées ou rectifiées.

Pour vous aider dans ce processus de suppression des données inutiles ou obsolètes, nous vous recommandons de mettre en place un référentiel de conservation des données personnelles, pour vous permettre de suivre les durées de conservation des données personnelles.

Par ailleurs, toutes les durées de conservation des données doivent être inscrites dans le registre du traitement de la société.

Erreur n°3 – Ne pas protéger les données des employés

Quelle est l’erreur commise ?

Les erreurs les plus communément observées sont les suivantes :

• Les informations personnelles des salariés ne font pas l’objet d’une protection particulière (ex : pas de mot de passe sur les ordinateurs, les fichiers sur lesquels figurent les données ne sont pas protégés ou cryptés).
• Les informations personnelles sont fournies à de nombreux tiers (ex : sous-traitants, cabinets comptables, cabinets d’avocats) sans encadrer cet accès par des clauses contractuelles délimitant la responsabilité des parties.
• En cas de changement de poste, les accès aux données des salariés ne seront pas mis à jour.

Or, en matière de protection des données personnelles, chaque entité traitant des données personnelles doit garantir un niveau de sécurité adéquat, adapté à ses moyens et à ses besoins. Cette obligation de sécurité des données personnelles est prévue à l’article 32 du RGPD.

Dès lors, en matière de sécurité des données, des obligations pèsent sur les entreprises à la fois au plan physique et au plan virtuel et informatique.

On considère que l’entreprise doit prendre les mesures qui sont adaptées à ses moyens et capacités financières et matérielles. Lors d’un contrôle, il sera de la responsabilité de l’employeur de prouver qu’il a mis tous les moyens à sa portée pour protéger les données personnelles traitées et collectées de ses salariés.

Comment protéger efficacement les données personnelles des salariés ?

Voici quelques recommandations d’usage :

Instaurez et écrivez un process de sécurisation des données personnelles de vos salariés : délimitez les accès, mettez en place une procédure de renouvellement des mots de passe, cryptez les données sensibles, supprimez les données obsolètes ou celles de vos anciens candidats. Le logiciel de gestion RH Kelio permet par exemple la mise en place de droits d'accès aux données très fins, selon le profils des utilisateurs et leurs habilitations. 

Dans les relations avec vos sous-traitants et prestataires, instaurez des clauses contractuelles dans vos contrats détaillant les modalités d’usage des données personnelles partagées avec les tiers. Posez les règles de responsabilité entre le sous-traitant (vos prestataires) et le responsable de traitement (les services RH), instaurez des obligations de confidentialité et de protection. Au besoin, faites écrire ces clauses par un avocat spécialisé en données personnelles.

Mettez en place une vraie culture d’entreprise sur la protection des données personnelles pour sensibiliser vos collaborateurs à leurs obligations en matière de traitement desdites données : prévoyez des formations, sensibilisez vos collaborateurs sur les risques de fuite de données.

Utilisez des outils répondant aux normes de sécurité dictées par la CNIL et la Commission Européenne. Privilégiez des serveurs et outils informatiques sur des serveurs français ou européens qui facilitent la mise en place de votre conformité au RGPD.

Pensez à effectuer des sauvegardes régulières des données et procédez à des tests de sécurité informatique sur une base annuelle pour éviter toute intrusion. A l'inverse, mettez en place des purges de données régulières, fondées sur les durées de conservations recommandées de chaque type de données personnelles.

Erreur n°4 – Ne pas être vigilant vis-à-vis des nouvelles technologies

Quelle est l’erreur commise ?

Un exemple récente est celui du recours accru aux systèmes de vidéosurveillance. Bien trop souvent ces dispositifs sont mis en place sans respecter les obligations légales et réglementaires qu’ils induisent, et ce, au détriment du respect de la vie privée du salarié.

Comment veiller au respect de la vie privée du salarié en entreprise ?

Tout d’abord, on se posera la question de la nécessité du recours à la vidéosurveillance. Bien que la loi n’interdise pas aux employeurs d’y avoir recours, cela ne dédouane pas ces derniers de s’interroger sur la pertinence d’un tel dispositif. Avant même son utilisation, veillez donc à vous poser les questions suivantes :

• Ai-je vraiment besoin d’un système de vidéosurveillance dans mon entreprise ? N’existe-t-il pas des solutions alternatives et moins invasives sur la vie privée du salarié ?
• Si oui, pourquoi ? Comment puis-je justifier le recours à la vidéosurveillance ? Quel est mon intérêt légitime ?

Une fois que vous vous serez posé ces questions, vous devrez ensuite veiller à prendre toute une série de mesures pratiques pour installer ces dispositifs en respectant la réglementation applicable.

Il y a tout d’abord une série de lieux qui ne peuvent faire l’objet d’une vidéosurveillance : les zones de pause et les toilettes, les locaux syndicaux ou des représentants du personnel (ni leurs accès quand ces derniers mènent à ces seuls locaux). N’installez pas non plus de caméras pointées directement sur les employés à leurs postes de travail. Si par exemple vous souhaitez surveiller un employé de banque qui manipulerait de l’argent, pointez la caméra sur la caisse et non sur le salarié.

Pour installer les caméras, vous privilégierez donc les entrées et sorties des bâtiments, les zones de stockage des marchandises ou de biens de valeurs, les issues de secours et les voies de circulation.

Ensuite, pour faire suite à l’erreur n°2 citée en amont, vous devrez supprimer les images dès lors qu’elles ne vous sont plus d’aucune utilité. Vous ne pouvez pas les conserver indéfiniment. En principe, les images seront conservées pendant un mois. Vous pouvez cependant les conserver plus longtemps si elles sont nécessaires à des fins de preuve dans le cadre d’une procédure disciplinaire ou pénale.

De plus, veillez à informer vos salariés de la mise en place de ce système de vidéosurveillance ainsi que les instances représentatives du personnel. Informez-les de la finalité poursuivie (l’utilité des caméras), la durée de conservation des images, les droits des personnes sur les images, les destinataires des images, la base légale du dispositif et les coordonnées du responsable de traitement.

N’oubliez pas les affichettes sur les locaux de la société faisant l’objet d’une vidéosurveillance ainsi que le pictogramme indiquant la présence d’une caméra de protection.

Enfin, et tel que cela a été rappelé par la CNIL, la réalisation d’une analyse d’impact (DPIA) est obligatoire pour la mise en place des systèmes de vidéosurveillance en vue d’évaluer le risque sur la vie privée de vos salariés.

Erreur n°5 – Ne pas former suffisamment son personnel au RGPD

Les quatre erreurs précédentes sont les conséquences directes de cette cinquième erreur. En effet, elles auraient pu être aisément évitées si vous aviez au préalable pris le temps de former suffisamment votre personnel aux enjeux relatifs au traitement des données personnelles.

Sensibiliser votre personnel en matière de traitement et de protection des données personnelles peut être utile en vue de former vos salariés aux procédures fondamentales, puisqu’aujourd’hui, la donnée est au cœur des activités de toutes les entreprises. Elle permettra à chaque collaborateur de connaître leurs obligations et d’être en mesure de respecter la procédure applicable.

Vous pouvez à ce titre délivrer une formation à vos collaborateurs en matière de protection des données personnelles. Cette formation permettrait de sensibiliser l’ensemble de vos collaborateurs aux mesures de vigilance en matière de sécurité des données personnelles. Vous pouvez également demander à vos collaborateurs de suivre des formations gratuites (MOOC) https://atelier-rgpd.cnil.fr

Nous vous recommandons également d’élaborer une charte informatique des usages du numérique au sein de votre entreprise. Cette charte, distribuée à tous vos collaborateurs actuels et futurs et qui dont on peut par exemple demander la signature via Kelio, est un gage de la sensibilité qu’apporte votre entreprise en matière de protection des données personnelles et participe à la documentation de votre conformité RGPD.

Enfin, vous pouvez recourir à la désignation d’un délégué à la protection des données personnelles (DPO) pour vous accompagner dans cette mise en conformité. En effet, le rôle du DPO est :

• D’informer et conseiller le responsable de traitement.
• De contrôler le respect du RGPD et du droit national en matière de protection des données.
• De coopérer avec les autorités de contrôle.
• De mener des études d’impact sur la protection des données et de mettre en place des mesures de sécurisation des données (ex : tenue d’un registre de traitement).
• Piloter en continu la conformité de votre entreprise au RGPD.

Il permettra de vous accompagner dans la formation et la sensibilisation de votre personnel et veillera au meilleur respect de vos obligations en matière de traitement des données à caractère personnel.