Protection des données personnelles et RGPD : les questions à se poser lors du déploiement d’un SIRH

Entré en vigueur dans l’Union Européenne en mai 2018, le Règlement Général sur la Protection des Données (RGPD) impose aux entreprises, responsables de la conformité du traitement des données personnelles de leurs collaborateurs, de garantir leur juste utilisation et leur protection. Dans ce cadre, et dans le contexte d’un véritable renforcement des politiques de protection en la matière à travers le monde, la mise en place d’un système d’information de gestion des RH nécessite une attention particulièrement renforcée. En effet, un projet d’implémentation SIRH implique souvent le traitement de nombreuses données personnelles de collaborateurs et / ou de candidats, dont certaines sont considérées comme confidentielles (numéro de sécurité sociale, adresse personnelle) ou sensibles (santé, handicap).

Il appartient aux concepteurs de solutions SIRH de fournir les fonctionnalités et les moyens d’assurer la confidentialité et la sécurité des informations qui transitent dans leurs logiciels. Mais force est de constater que les solutions techniques proposées par les éditeurs pour respecter la protection des données sont plus ou moins adaptées aux exigences que le RGPD impose aux entreprises. Par ailleurs, en tant que contrôleur des données liées aux collaborateurs, l’employeur reste le premier responsable de la conformité du système d’information utilisé par l’entreprise : il lui appartient ainsi de s’assurer que l’outil choisi respecte les principes de conformité et les réglementations en vigueur durant tout son cycle de vie.

La gestion de la conformité du SIRH commence dès le choix de l’éditeur…

Il est capital d’anticiper ces questions de conformité et de veiller au respect du cadre légal qui entoure la protection des données personnelles des salariés suffisamment en amont. La gestion de la conformité du SIRH commence au moment du choix de l’éditeur. L’objectif de l’employeur est ainsi de sélectionner dès le départ une solution respectant le principe du « Privacy by design & by default » ; autrement dit, un système qui intégrera nativement des fonctionnalités permettant de respecter les principes de la protection des données.

Lors de la phase de choix de l’éditeur SIRH, l’équipe chargée du projet d’implémentation SIRH devra ainsi se poser une série de questions précises liées au respect du RGPD, et intégrer ses exigences au cahier des charges : 

• La solution permet-elle, nativement, d’informer les collaborateurs et/ou les candidats du traitement de leurs données (sous la forme d’une notice d’information consultable à tout moment en page d’accueil, ou d’un lien renvoyant vers un site interne mettant à disposition cette notice, par exemple) ?

• Le système d’information permet-il d’archiver et de supprimer les données, automatiquement ou manuellement, à la fin de leur durée de rétention ?

• Dans quelle mesure l’outil permet-il de gérer, concrètement et finement, les demandes d’exercice des droits (d’accès aux données, de suppression, de limitation du traitement, etc.) des personnes ? Le SIRH offre-t-il au salarié un accès facilité à l’intégralité des données depuis le portail utilisateur ? Les équipes RH seront-elles autonomes pour mettre en oeuvre une demande de restriction du traitement, sans l’intervention de l’équipe support de l’éditeur ? 

• Quelles sont les fonctionnalités permettant de recueillir le consentement des collaborateurs sur l’utilisation de leurs données,  et de cesser leur traitement si le consentement est retiré ?

• Quelles mesures de sécurité des données (mots de passe forts, double authentification, chiffrement, sécurisation des serveurs, etc.) peuvent être mises en place?

• Dans quel pays seront hébergées les données ? Où se situent les équipes chargées de la maintenance et du support éditeur ? Si des transferts de données sont opérés en dehors de l’Union Européenne, comment sont-ils encadrés contractuellement ?

Au-delà d’une documentation technique fournie pour répondre à ces questions, il est essentiel de s’assurer, grâce à des cas d’usage, de l’effectivité des solutions proposées.

…Et se poursuit lors du déploiement en s’assurant de la conformité des décisions métiers 

Ce travail se poursuit lors du déploiement du système d’information. Après s’être intéressé à l’outil, l’employeur doit cette fois se pencher sur ses besoins fonctionnels, afin de s’assurer qu’ils respecteront les principes de conformité. Là encore, l’équipe chargée du projet d’implémentation SIRH doit se poser toute une série de questions :

• Quelles seront les finalités précises de chaque traitement de données mis en œuvre ? Le traitement doit répondre à un objectif précis, et être justifié au regard des missions et des activités de l’entreprise. Il peut notamment s’agir de finalités liées au recrutement, à la gestion administrative des personnels, à la gestion des rémunérations, etc. Il est donc impératif de formaliser les traitements de données, en leur adossant à chaque fois une finalité valable.

• De quelles données personnelles l’entreprise a-t-elle besoin pour répondre aux finalités identifiées ? Respecte-t-elle bien le principe de minimisation (seules les données strictement nécessaires à l’accomplissement de la finalité sont traitées)? Par exemple, recueillir le genre d’une personne n’est généralement pas nécessaire pour assurer le bon déroulé d’un processus de recrutement : il ne sera donc pas possible de traiter cette donnée, sauf à identifier une autre finalité pour laquelle elle serait nécessaire, comme le besoin de statistiques dans le cadre d’une politique de diversité.

• Pendant combien de temps l’entreprise gardera-t-elle les données collectées, par traitement et par finalité ? Par exemple, la CNIL recommande de ne conserver les données liées au recrutement (stockées dans une CVthèque) que pendant une durée de deux ans, celles-ci devenant obsolètes, et donc inutiles, au-delà de ce délai. Si, à l’issue de cette période, un candidat n’est pas retourné sur le site carrière de l’organisation à laquelle il a postulé, celle-ci devra ainsi supprimer son CV de la base de données. Dans le cas de la gestion administrative des employés, en revanche, certaines données requièrent d’être conservées pendant 5 ans après le départ du collaborateur. Ces données peuvent toutefois être conservées en base d’archive, et non plus en base active, entre le départ du collaborateur et la fin de la période de rétention.

• Quel sera le cadre des habilitations d’accès ? L’entreprise doit définir, dès le déploiement du SIRH, qui peut lire et modifier les données personnelles stockées dans le système. L’idée étant de restreindre ces permissions au strict nécessaire.

• Comment garantir l’exhaustivité et l’exactitude des données à caractère personnel traitées ? Le RGPD impose aux entreprises de mettre en place des stratégies pour le suivi et la gestion de la qualité de la donnée, afin que celle-ci soit la plus exacte possible. Dans ce sens, il peut par exemple être justifié de mettre en place un process de reporting pour identifier des incohérences dans les données, et ainsi permettre de réaliser des corrections suffisamment rapides pour éviter des plaintes de la part des personnes concernées. 

• Qui pilotera la gestion de la conformité ? Le Data Protection Officer (DPO), peut être inclus dans la gouvernance du projet d’implémentation afin d’éviter, notamment, qu’il ne découvre trop tard des non conformités à régulariser au prix d’un surcoût, d’une charge additionnelle pour l’équipe projet ou d’un délai impactant le projet projet. Inclure le DPO dans la gouvernance du projet permet aussi à ce dernier de réaliser un travail de pédagogie auprès des différentes parties prenantes : fonctionnement de la politique de protection des données dans l’entreprise, exigences en la matière, processus internes à suivre, etc.

• Au-delà de l’équipe projet, comment sensibiliser les utilisateurs du SIRH ? Le concours des collaborateurs, premiers concernés par le traitement de leurs données personnelles, peut être décisif lors du déploiement du système d’information. Il ne faut donc pas hésiter à les intégrer dans la démarche de conformité RGPD, afin de les responsabiliser et leur partager les bonnes pratiques.

Comme le recommande la CNIL, la gestion de la conformité nécessite enfin de la documenter. La présentation d’une documentation de conformité (registre des traitements, notices d’information, matrice  d’accès, matrice des données, etc.) sera notamment nécessaire en cas de contrôle.

Conserver une approche Privacy By Design sur le long terme

Le système d’information est déployé, mais le travail de gestion de la conformité du SIRH ne s’arrête pas là. Il faut désormais maintenir les bonnes pratiques de travail mises en place lors du projet d’implémentation, car cet outil continuera de vivre et d’évoluer. Il s’agrémentera de nouvelles fonctionnalités au fil du temps, dont la mise en place nécessitera de s’assurer qu’elles respectent à chaque fois les principes du RGPD. 

Tout au long de la vie du SIRH, les équipes SIRH devront aussi continuer de veiller à la conformité de l’outil, en modélisant des procédures internes et en mettant en œuvre les activités de maintenance relatives à la protection des données. Quelques points d’attention sont à garder à l’esprit :

• Comment organiser les purges et l’archivage des données, selon les durées de rétention définies ? Ces activités ne seront pas forcément automatiques, et pourront notamment être assurées par une équipe interne.

• Quelle gouvernance de la donnée mettre en place ? Afin de garantir le respect du principe de minimisation et de la confidentialité lors des mises à jour, il est par exemple important de définir un processus de décision destiné à valider l’ajout de nouvelles données dans le système d’information et les accès associés

• Quelle organisation adopter pour répondre aux demandes d’exercice des droits dans les délais impartis (sous 1 mois)?

• Comment s’assurer de la mise à jour régulière de la documentation de conformité ?

La conformité du SIRH, un enjeu important

Si ce travail peut être perçu comme fastidieux, il s’avère primordial à plus d’un titre. La conformité du système d’information aux principes de la protection des données personnelles est d’abord clé sur le plan financier. En intégrant dès le départ ces questions dans le projet SIRH, l’entreprise évitera de coûteux plans de remédiation des risques, voire d’importantes amendes en cas de non conformité (à hauteur de 20 millions d’euros, ou de 4 % du chiffre d’affaires annuel mondial).

Être en conformité avec la législation de protection des données est également important pour la notoriété de l’entreprise, en direction de ses clients comme de ses collaborateurs ou de futures recrues. La gestion de la conformité du SIRH permet ainsi de préserver la réputation de l’employeur, ainsi que la confiance de talents pour qui la sécurisation des données personnelles est aujourd’hui un prérequis incontournable.

Analyser les offres des éditeurs, construire une documentation, créer une méthodologie et des process : mener un tel projet de bout en bout demande toutefois une bonne connaissance des principes du RGPD, ainsi que du temps. Toutes les entreprises n’auront pas forcément les réflexes, les méthodes ou les ressources suffisantes pour réaliser ce travail de gestion de la conformité seules. Dans ce cadre, l’accompagnement par des intervenants externes tels que les consultants de ConvictionsRH peut être décisif.