Ce que change le RGPD pour les Ressources Humaines

photo

Le Règlement Général pour la Protection des Données entrera en vigueur le 25 mai dans toute l’Union Européenne et entrainera de profonds changements pour les RH et la gestion du personnel. Tour d’horizon.

 

Le consentement obligatoire

 

A partir du 25 mai, toute entreprise devra obtenir un consentement « spécifique, éclairé et univoque » de chaque collaborateur et salarié sur la conservation de leurs données et les informer précisément du type de données collectées, de leurs conservations et utilisations.

De plus, chaque salarié pourra exercer son droit de revenir à tout moment sur son consentement, impliquant donc un système facilement éditable. Les clauses classiques de consentement des contrats actuels n’étant pas suffisantes, les entreprises devront probablement rédiger de nouveaux contrats pour tous ces collaborateurs.  

 

La finalité du traitement des données

 

Chaque salarié et collaborateur devra donc être informé de la finalité du traitement de leurs données, et plus précisément aucun autre traitement de données qui ne figure pas dans le document de consentement ne pourra être réalisé.

Selon certains, une telle règle sera difficilement applicable par les entreprises qui font appels à de nombreux indépendants, en les empêchant de stocker leurs données personnelles sans leur permission. 

De plus, elles risquent de devoir contacter toutes les personnes avec lesquelles elles ont collaboré pour recueillir leur consentement en vue de pouvoir utiliser leurs données à l'avenir.

 

La durée de conservation des données

 

Le RGPD précise que les données doivent être conservées uniquement tant que les entreprises en ont besoin. Le temps de conservation des données sera donc très difficile à estimer, les besoins du jour n’étant pas ceux de demain.

Cela implique également un système d’information et de gestion des ressources humaines qui permette de récupérer et supprimer définitivement les données stockées ; adieu l’AS400…

De nombreuses entreprises devront donc migrer sur des systèmes modernes conformes RGPD et cela représente un coût certain.

 

Le chiffrement des données et leur accès

 

Pour être 100 % conforme au règlement, Les entreprises devront chiffrer tous les stockages et les transferts de données (ainsi que les e-mails), afin de les protéger contre d'éventuelles cyberattaques.

Par ailleurs, l’entreprise devra dresser la cartographie complète des services et des personnes ayant accès à ces données, les utilisations que chacun peut en faire et le protocole pour y accéder.

 

La notification de violation de données

 

En vertu du RGPD, toute violation de données devra être notifiée dans les 72h après sa découverte à la personne concernée. Cela implique des systèmes de gestion de données mieux sécurisés mais surtout des systèmes capables de détecter toute violation.

 

Conclusion

 

Le RGPD implique un profond bouleversement pour bon nombre d’entreprises et notamment les services RH. Il serait en somme judicieux de mener une évaluation et un audit complet de l'ensemble des processus de stockage des données RH et d’entamer rapidement les démarches nécessaires pour leur mise en conformité. 

 

 

Voir aussi