Le 25 mai 2018, le règlement général sur la protection des données «RGPD», ou «GDPR» en anglais, entrera en vigueur dans l'ensemble de l'Union européenne.
Ce nouveau règlement, qui a pour vocation le renforcement de la protection des données personnelles, aura des impacts significatifs pour les départements des ressources humaines tant les traitements de données mis en œuvre tout au long du cycle de vie RH du salarié sont sensibles et nombreux, et ce, du recrutement à l'embauche, en passant par la vie du contrat de travail (gestion de paie, des absences et congés, performance, carrière, formation) au départ de l'entreprise.
Les RH de la Place seront ainsi affectés par plusieurs grandes implications du RGPD et devront veiller à leur mise en conformité sous peine de pénalités substantielles, les sanctions administratives imposées par l'autorité de contrôle (la CNPD) en complément ou à la place des mesures correctrices pouvant s'élever jusqu'à 4% du chiffre d'affaires annuel mondial total de l'exercice précédent.
Employeurs et RH, les challenges auxquels vous devez vous préparer afin de faire face à la nouvelle réglementation sont notamment les suivants:
- Établir un inventaire des données et documenter la conformité, voire, au besoin, mettre en place un registre des traitements RH. Les entreprises doivent recenser l'ensemble des traitements de données personnelles mis en œuvre, les catégories de données personnelles traitées, la finalité du traitement, la durée de conservation des données traitées, les acteurs qui traitent ces données, et s'assurer que ces traitements respectent les nouvelles obligations légales à travers des procédures écrites claires et précises. Les entreprises comptant au moins 250 salariés devront, quant à elles, obligatoirement tenir un registre de toutes leurs activités de traitement de données, comportant l'ensemble des informations susvisées.
- Identifier les traitements susceptibles d'engendrer des risques pour les droits et libertés des personnes concernées et adopter toutes les mesures utiles pour traiter ces risques et se conformer au règlement.
- S'assurer de la conformité des traitements de données mis en œuvre par des sous-traitants RH (ex.: prestataire de paie, de gestion du temps de travail), ce qui peut impliquer un réexamen des contrats commerciaux (points à vérifier: confidentialité, traitement des données, etc.).
- Informer les salariés, recueillir leur consentement et se préparer à leurs nouvelles demandes en matière de droit d'accès, de rectification et de droit à l'oubli. L'employeur devra informer ses salariés sur différents supports (site internet, contrat de travail, règlement intérieur, code de déontologie, etc.) et ses candidats de la mise en place d'un traitement, de ses finalités et des modalités entourant ce traitement, et veillera à recueillir, dans certains cas, préalablement leur consentement. Il devra mettre en place un plan afin de répondre aux demandes d'un salarié dans un délai maximal d'un mois.
- Désigner un Délégué à la protection des données.
En dehors des cas de désignation obligatoire, la désignation d'un DPO est logiquement facultative, mais fortement encouragée, car elle permet de confier à un expert l'identification et la coordination des actions à mener en matière de protection des données personnelles.
Par Catherine Graff via paperjam