RH, le RGPD peut être un atout pour votre marque employeur

Le 25 mai 2018, le Règlement européen sur la protection des données qui renforce la loi existante en la matière, imposera des règles plus strictes sur la manière dont les entreprises prennent en charge les données personnelles qu’elles collectent. Outre les conséquences techniques (stockage et exploitation des données personnelles), cette évolution aura des répercussions sur leurs politiques RH, avec notamment de sérieuses incidences sur leur marque employeur.

Avec cette nouvelle loi, les entreprises ne seront plus en mesure de conserver certains types de données personnelles. Par exemple, les données des candidats qui n’auront pas été retenus devront être supprimées rapidement après la clôture du recrutement, sauf si le candidat a donné son consentement de manière explicite. En outre, les données des collaborateurs qui ont quitté l’entreprise ne pourront être conservées que sur une durée limitée, ce qui va certainement affecter les procédures régissant le départ de collaborateurs dans de nombreuses entreprises. Cet allègement permettra en retour de disposer de données toujours actualisées.

Les employeurs ne pourront solliciter des données auprès des employés potentiels seulement si nécessaire. Pour toute autre forme de collecte de données, une permission explicite doit être demandée. Une révision des procédures existantes de recrutement est donc nécessaire. De la même manière, toute donnée concernant un collaborateur, conservée par l’entreprise, doit être justifiée. Il sera donc plus difficile de justifier la collecte de données qui ne sont pas directement reliées au rôle ou à la gestion de la carrière du collaborateur. En retour, le meilleur ciblage de l’information permettra de rationaliser certains processus, comme par exemple le développement des compétences et la gestion des plans de succession.

A partir du 25 mai 2018, les entreprises seront également tenues de fournir des détails sur les modes et les lieux de stockage et d’exploitation des données. Elles devront en outre disposer des consentements des collaborateurs concernant les données qui requièrent leur permission. Cette permission n’est pas définitive : les collaborateurs ont le droit de la retirer. Parallèlement, les personnes disposant de droits d’accès à ces données doivent être clairement définies. Enfin, les entreprises devront documenter et justifier leur conformité réglementaire. Cette transparence aura pour effet d’accroître la confiance des consommateurs envers la marque.

Les départements RH non seulement sont limités en termes de volumes de données qu’ils peuvent demander aux collaborateurs ou aux candidats, mais ils ne pourront exploiter ces informations que dans le cadre d’exigences qui auront été définies au préalable. Et à la condition que le collaborateur ait donné explicitement son consentement. Ceci pourrait empêcher une entreprise d’entretenir un vivier de talents.

L’obligation d’actualiser régulièrement les informations personnelles a également des conséquences sur les RH. Celles qui touchent aux modifications des équipes (changement ou suppression de poste, etc.) sont généralement conservées. Mais qu’en est-il des évaluations de performance ? Existe-t-il des entretiens de performance, et si oui, sont-ils stockés de manière centralisée ou sont-ils révisés d’une autre manière ? Quelle que soit la forme utilisée, les RH doivent s’assurer que les bons outils sont utilisés pour préserver les données. Ces dernières, actualisées régulièrement, alimenteront le dialogue social au sein de l’entreprise en offrant une base d’information commune.

L’un des principaux objectifs de la nouvelle Loi européenne RGPD vise à garantir la protection des données personnelles. Les données doivent être stockées de manière sécurisée et tout risque de cyberattaques ou de brèches doit être maîtrisé. Les données métiers ne présentant pas nécessairement la même valeur que celles des employés, une étroite collaboration est donc nécessaire avec le département informatique pour trouver le bon équilibre entre l’accès aux données et leur protection contre des menaces extérieures.

Pour l’externe, si un sous-traitant est utilisé (par exemple, via le Cloud), les entreprises doivent sélectionner un fournisseur présentant des garanties adéquates. Un contrat doit couvrir tous les aspects de la sous-traitance et garantir le support du fournisseur en cas d’incidents.

La sécurité des données personnelles est indispensable pour susciter la confiance des consommateurs, à l’heure où les informations deviennent de plus en plus fréquemment une source de revenus pour les entreprises qui les monétisent. C’est tout l’objet de la nouvelle Loi européenne RGPD.