RGPD : quelles conséquences pour les services RH ?

Lundi 26 mars 2018

Ecrit par Start People France

Partager sur
RGPD

Le 25 mai prochain, le Règlement Général sur la Protection des Données (RGPD) du 27 avril 2016 devient obligatoire. Les pratiques des services RH, qui collectent de nombreuses données sensibles sur les candidats ou leurs propres salariés, doivent s’adapter en conséquence. Start People fait le point avec vous sur les principaux changements.

 

Recueillir le consentement des candidats et salariés et les informer de leurs droits

La collecte des données personnelles doit être licite, loyale et transparente. Ainsi, chaque candidat et chaque salarié doit avoir manifesté de façon claire et explicite son accord pour la collecte et le traitement de ses données personnelles, telles que son identité, ses coordonnées, son numéro de sécurité sociale ou encore sa nationalité. Il vous faudra également indiquer à chacun les motifs qui justifient du recueil et du traitement de ces données.

De plus, les candidats et les salariés de l’entreprise doivent être informés de leurs droits en matière de traitement de leurs données personnelles. Tout individu dispose d’un droit d’accès, de rectification et de suppression des informations le concernant. Le RGPD instaure également un droit à la portabilité des données (il est possible de faire une demande de transfert des données personnelles).

 

Un traitement des données légitime, déterminé et limité

Chaque personne dont vous recueillez les données personnelles doit être informée de l’identité des responsables, des destinataires et des finalités du traitement. Ainsi, il n’est possible de recueillir des informations que sur la base d’une obligation légale (établissement de la paie, obligations sociales et fiscales, gestion administrative du personnel par exemple), ou selon un intérêt légitime dûment démontré.

 

La collecte et le traitement des données doivent donc être désormais limités à ce qui est strictement nécessaire et limité dans le temps. En effet, selon la finalité du traitement, vous devrez définir un délai de conservation de ces données, à l’issue duquel elles devront être effacées.

Sachez qu’en cas de transfert de ces données à vos fournisseurs, clients, prestataires, vous devrez, en tant que responsable du traitement de ces dernières, vous assurer qu’eux-mêmes respectent les dispositions du RGPD. Vous pouvez définir un partage de responsabilité en la matière dans les contrats conclus avec vos partenaires commerciaux.

 

Le suivi du traitement des données personnelles

Dès lors que des données personnelles sont traitées de manière systématique, l'entreprise est dans l’obligation de tenir un registre des traitements. Ce dernier remplacerait l’obligation de déclaration préalable des fichiers auprès de la CNIL, si le projet de loi est définitivement adopté dans les prochains mois.

Le registre des traitements représente une cartographie des fichiers contenant des données personnelles. Il doit détailler les responsables de chaque traitement, leurs finalités, les destinataires possibles de ces fichiers, les délais de conservation des données, les mesures de sécurité prises pour garantir la protection des données personnelles.

Chaque entreprise doit également établir une procédure de notification des violations. Toute faille dans le système de sécurité pouvant conduire à une altération, destruction ou divulgation des données personnelles doit faire l’objet d’une notification à la CNIL dans un délai de 72h après la connaissance de la faille. Il faut également notifier dans les meilleurs délais la violation du système aux intéressés. Le service RH doit donc s’assurer que toutes les mesures sont prises en interne pour garantir la remontée d’un incident.

 

Enfin, les entreprises devront désigner un Délégué à la protection des données (DPO). Sa mission sera de s’assurer de la mise en conformité des process et de suivre l’application du RGPD en interne.

 

Plus d'informations : http://www.rgpd-2018.eu/