RGPD : Pourquoi la fonction RH est en première ligne

Suite à l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, de nombreuses organisations françaises ont dû agir dans l’urgence, n’ayant pas suffisamment anticipé l’investissement nécessaire à la mise en oeuvre d’une véritable politique de données interne ; Notons et rassurons-nous néanmoins, ce défaut de préparation a été constaté dans tous les pays de L’Union Européenne.

Second constat : une fois l’action de mise en conformité lancée, la réflexion n’a été parfois que partiellement à son terme ; Ainsi, la Direction des Ressources Humaines (DRH) qui devrait être au coeur de la mise en oeuvre de la conformité est souvent le parent pauvre de l’application du RGPD.

RGPD : Pourquoi la fonction RH est en première ligne
En vigueur depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) vise à encadrer les données personnelles.

Citons deux situations-type fréquemment rencontrées :

Dans les entreprises orientées consommateurs, la priorité a été souvent mise sur le côté commercial, à savoir l’analyse des traitements de données personnelles de la base clients et la mise en oeuvre des protections conséquentes instaurées ou renforcées par le RGPD.

Dans d’autres cas, les organisations (aussi appelées Responsable de Traitement dans le Règlement) ont opéré une mise en conformité qu’on pourrait qualifier de minimaliste, d’autres sujets entrant en concurrence avec cette thématique.

C’est un cas rencontré dans de nombreuses DRH, qui ont dû mener en parallèle des chantiers d’importance, comme par exemple la mise en place du Prélèvement à la source.

Or, négliger la partie RH dans la mise en oeuvre du RGPD est une erreur : tout d’abord parce qu’il s’agit d’un domaine d’activité de l’entreprise qui, de par son fonctionnement et ses interactions, est central dans la mise en oeuvre du RGPD (I) ; ensuite, du fait qu’elle peut avoir vocation à être actrice ou moteur de la mise en conformité par ses actions (II) ; enfin, parce qu’elle peut faire l’objet d’un contrôle au même titre que d’autres composantes de l’organisation (III).

Les Ressources Humaines, première consommatrice de Données Personnelles au sein de l’organisation ?

La question peut se poser, au vu du nombre de Traitements dans lesquels les Données Personnelles des individus sont utilisées au sein de cette Direction.

Il faut en revenir à la lecture du RGPD pour prendre conscience de la réelle portée de cette réglementation ; En effet, dès les définitions retenues par les rédacteurs européens à l’article 4 du texte, on constate que celles-ci vont couvrir un spectre large de l’activité des organisations, et plus particulièrement des entreprises.

Illustrons ces propos par trois exemples tirés de ces définitions, que l’on déclinera au niveau des Ressources Humaines :

  • Les Données Personnelles, ou pour être complet, les Données à caractère personnel : toute information se rapportant à une personne ; ainsi définies, le spectre est extrêmement large pour les Ressources Humaines : noms et prénoms bien évidemment, date de naissance, diplômes, situation familiale, plaque d’immatriculation du véhicule, adresse IP de l’ordinateur professionnel…

Il faut noter qu’il existe ce qui peut être qualifié de Données personnelles à protection renforcée, à savoir les Données Sensibles ; elles couvrent par exemple toutes les informations relatives à la santé, à la biométrie, aux opinions politiques, religieuses de l’individu ; elles font en conséquence l’objet d’un régime spécifique, encore plus protecteur que les autres données.

  • La Personne concernée : toute personne identifiée ou identifiable ; le plus évident serait de considérer que, dans le domaine des Ressources Humaines, les salariés sont visés ; mais, dans les faits, les Personnes Concernées sont aussi les candidats en cours de recrutement, tout comme ceux qui vous ont fait parvenir une candidature spontanée, ou les apprentis présents dans votre organisation ; on le répète, tous ceux dont les Données Personnelles sont collectées et donc traitées ; ce qui nous amène à notre troisième définition…
  • Les Traitements de Données : « opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés (…) telles que la collecte, l’enregistrement, l’organisation, la structuration… » dans un souci de simplification, et pour une liste complète de ce que peut être considéré comme un traitement, il conviendra de se référer à l’in extenso de l’article 4 du RGPD.

Les Traitements sont donc légions pour la DRH et couvrent l’ensemble de leurs champs d’activité, du recrutement (et même en amont de la gestion des candidatures spontanées ou non) à la paye en passant par la gestion du temps de travail ou au contentieux prud’hommal.

Il est intéressant en outre de rappeler à ce stade que, contrairement à une vision minimaliste du RGPD, en mode tout numérique, les opérations non automatisées sont à prendre en compte, et notamment la gestion « papier » considérant que :

  • Les processus de digitalisation ne sont pas à 100% la norme dans les organisations
  • Il reste donc des processus non dématérialisés dans l’entreprise
  • Ces éléments contiennent d’évidence, pour la Direction des Ressources Humaines, des Données Personnelles

Le travail quotidien de la DRH ne peut être, au vu de ces différentes définitions, en aucune façon considéré comme ayant un impact secondaire sur les Données personnelles ; En conséquence, le processus de mise en conformité au RGPD pour les Ressources Humaines constitue pour l’organisation un projet important, voire crucial.

Les Ressources Humaines, au coeur de l’action de mise en conformité

Il convient de rappeler en préambule un des objectifs des rédacteurs du texte qui est d’internaliser la gouvernance des Données Personnelles. Il est à ce titre intéressant de souligner que le Règlement a pour vocation à donner un cadre, mais un cadre offrant une certaine latitude quant au déploiement de ladite gouvernance ; tout est affaire de construction et de réflexion pour le Responsable de Traitement dans le cadre de sa politique de respect des Données Personnelles.

Cette mise en conformité va souvent passer par une réflexion sur les points suivants :

  • Cartographie des données collectées et des Traitements pratiqués : sur la base des notions ci-dessus présentées et en considérant l’ensemble de l’activité et des pratiques de la Direction des Ressources Humaines.
  • Retranscription de cette cartographie dans la documentation RGPD : à ce stade, va se poser la question de la tenue ou non d’un Registre des Traitements pour répertorier cette première étape ; on ne peut qu’appuyer cette démarche : outre qu’il soit obligatoire dans un certain nombre de cas, le registre constitue, via les modèles mis à disposition par la CNIL sur son site internet, un outil précieux pour une couverture des différents aspects du RGPD dans son déploiement.
  • Éventuelles études d’impact : si certains Traitements effectués sont susceptibles d’affecter de manière élevée la vie privée des Personnes Concernées, ces études vont devoir être entreprises, sur le modèle par exemple de ce qui peut exister en matière environnementale (scénarios/risques/mesures pour limiter les risques) ; sur ce sujet, les Ressources Humaines se trouvent dans une position qui va différer selon la taille de l’organisation : soit celle-ci comporte peu de personnels, et dans ce cas, des dispenses existent pour certains traitements, qui autorisent la non réalisation d’étude d’impact ; au contraire, pour les organisations plus importantes, les cas dans lesquels un Traitement de données RH sont potentiellement susceptibles de faire l’objet d’une analyse sont nombreux ; à noter que, dans ce cadre, l’appui d’un technicien du RGPD, type Data Protection Officer (DPO) ou conformité, s’avère quasi-indispensable.
  • Adaptation des pratiques internes : pour une réelle mise en conformité, au sein de la Direction, un certain nombre de pratiques devra être corrigé dans une optique d’une bonne administration des données collectées ; en outre, un certain nombre de procédures découlant du Règlement (Réponses aux demandes de Droit des Personnes Concernées, Alerte en cas de violation de données) devront être établis ; enfin, les Ressources Humaines vont également être moteur de l’implémentation de la politique de Données Personnelles dans l’organisation par différents canaux de communication : règlement intérieur, Charte d’utilisation des Outils Informatique, formation du personnel, actions de sensibilisation ponctuelles…
  • Relation avec les sous-traitants : Dans la mesure où la Direction Des Ressources Humaines peut faire appel à des Prestataires extérieurs (par exemple, si elle fait appel à un cabinet de recrutement), il conviendra de considérer le fait que ces derniers puissent être destinataires de Données Personnelles, et les traitent en conséquence ; si tel est effectivement le cas, le RGPD donne un cadre de base, fixant les relations a minima entre les parties à ce titre ; mais, aux fins d’une protection efficiente de l’entreprise et de sa gouvernance, une refonte du partenariat via de nouveaux documents contractuels ou tout au moins des avenants devra être mise en oeuvre.

Le contrôle CNIL de la Direction des Ressources Humaines

Depuis la fin de la phase de transition telle que définie par la Commission Nationale Informatique et Libertés (CNIL), soit le 1er Janvier 2019, les contrôles de conformité sont effectifs et menés auprès des Responsables de Traitement.

Si un programme de contrôle est défini chaque année par la CNIL, et que les Ressources Humaines n’ont pas été pour le moment spécifiquement désignées, il n’en reste pas moins que les risques de contrôle sont réels et notamment au vu des risques liés à une potentielle plainte d’une Personne Concernée.

En effet, un ancien salarié en contentieux avec le Responsable de Traitement, un candidat dont le profil a été refusé, ou encore un salarié estimant être insuffisamment informé des données collectées et de leur utilisation sont autant de situation-types susceptibles de faire l’objet d’un signalement à la CNIL et consécutivement d’un contrôle, puisqu’il s’agit là d’une des sources de décisions de l’Autorité de contrôle.

D’où la nécessité pour l’ensemble de l’organisation que le service RH ne soit pas le parent pauvre de la mise en oeuvre du RGPD.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *