Face au RGPD, les ressources humaines sont en première ligne
4% du chiffre d'affaires mondial. C'est la somme maximale que devront payer les entreprises qui ne respectent pas le règlement général sur la protection des données personnelles (RGPD) qui sera applicable à compter du 25 mai 2018. Ce règlement initié par l'Union européenne vise à mieux protéger les données personnelles stockées par les entreprises. Si les services commerciaux ou marketing en détiennent beaucoup, les RH ne sont pas en reste.
"En matière de données personnelles, les ressources humaines disposent d'un véritable trésor de guerre. Recrutement, management des talents, mobilité, formation, entretiens professionnels, paie… les données personnelles sont partout. Pour quiconque se soucie des données personnelles, c'est de la nitroglycérine", résume François Geuze, consultant en SIRH et maître de conférences à l'université de Lille. Pour éviter que ces données potentiellement sensibles éclatent dans les mains des RH, plusieurs stratégies sont à adopter par les entreprises. Heureusement, elles ne partent pas de zéro.
Recrutement, management, mobilité, formation, paie... dans les RH, les données personnelles sont partout
"En France, par rapport à de nombreux pays européens, il existe déjà une législation très stricte concernant les données RH", rappelle Cécile Martin, avocate en droit du travail spécialisée dans la protection des données des salariés au sein du cabinet Ogletree Deakins. "Les RH sont donc plus préparées aux changements que d'autres secteurs de l'entreprise", poursuit l'experte. Depuis 1978, la loi informatique et libertés prend en compte la protection des données RH. Et la législation s'est progressivement étoffée. "La législation française est déjà très protectrice des données personnelles. Les lois contre la discrimination tiennent par exemple compte de cette problématique. Les professionnels du secteur sont donc déjà sensibilisés. Le RGPD apportera surtout des changements à la marge. Par exemple les salariés pourront accéder aux données les concernant en un mois contre deux mois auparavant", complète Cécile Martin. En revanche, les sanctions encourues en cas de non-respect incitent à ne pas franchir les limites de la légalité. D'où la nécessité de ne pas rester les bras croisés…
Contrôle des sous-traitants
Pour être en conformité, les services RH devront adopter au quotidien de bonnes pratiques qui leur permettront d'éviter de mauvaises surprises. La première chose à faire est d'être extrêmement vigilant avec les sous-traitants qui peuvent manipuler des données liées au versement des salaires, au recrutement ou encore à la mobilité interne.
"Hélas, pour le moment, il n'existe aucune certification officielle qui atteste que le sous-traitant respecte le RGPD"
"A part les très gros groupes qui internalisent tous leurs process, les entreprises confient une partie de leurs données personnelles à des tiers. Et à l'heure du RGPD, ils doivent être de confiance", estime José Rodriguez, data protection officer (DPO) de Cornerstone, concepteur de logiciel RH. Hélas, pour le moment, il n'existe aucune certification officielle qui atteste que les sous-traitants respectent le RGPD. Et rien n'indique qu'elle verra le jour : "L'absence de processus précis ne signifie pas que les entreprises ne peuvent rien faire. Je conseille de demander au tiers une attestation sur l'honneur qui stipule que le prestataire promet de respecter le RGPD. Ainsi, si un problème survient, l'entreprise pourra prouver sa bonne foi. Et bien évidemment, le DPO d'une entreprise peut mener un audit interne chez son prestataire. Mieux encore, les DPO peuvent dialoguer entre eux", conseille José Rodriguez, qui espère que des procédures cadrées verront rapidement le jour pour sécuriser les relations entre RH et sous-traitants.
Pour Cécile Martin, le respect du RGPD passe également par une veille juridique importante. Car le droit français peut lui aussi sanctionner certains manquements liés au RGPD. L'avocate voit actuellement deux points importants à ne surtout pas négliger : "Le droit européen impose dans certains cas entreprises le recrutement d'un DPO. Mais le projet de loi Cnil 2 stipule que l'entreprise doit en informer au préalable les représentants du personnel. Si elle ne le fait pas, elle peut être sanctionnée pour délit d'entrave". L'avocate identifie également un autre détail à ne pas oublier : "pour protéger des données RH, le RGPD obligera certaines entreprises à mettre en place ou modifier leurs traitements des données RH. Mais qu'elles n'oublient pas de respecter le code du travail qui oblige les employeur à informer les représentants du personnel puis, à partir de 2019, le comité social et économique mis en place par la réforme du code du travail par ordonnances".
L'article 88 du RGPD autorise les Etats à aller plus loin que le règlement européen en matière de protection des données RH
L'avocate conseille également aux RH d'être très attentives à l'article 88 du RGPD qui les concerne en premier lieu. Celui-ci indique que "les Etats membres peuvent prévoir par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employées dans le cadre des relations de travail, aux fins, notamment du recrutement, de l'exécution du contrat de travail et du recrutement". En somme, le droit français pourra tout à fait se montrer encore plus strict que le RGPD, d'où la nécessité de suivre de très près l'activité législative.
En plus de ce travail de veille, les RH doivent également diffuser les bonnes pratiques en interne et échanger avec plusieurs secteurs de leur entreprise. "Elles doivent dans l'idéal effectuer un audit interne avec la DSI ou un consultant externe", note José Rodriguez. Pour le mettre efficacement en place, François Geuze conseille de procéder de la manière suivante : "instaurez des échanges réguliers et très sectorisés. Chaque base de données étant différente, n'hésitez pas à consacrer un workshop au recrutement, un autre au départ en formation, un autre sur le traitement des entretiens annuels...".
La Cnil (plutôt) bienveillante
Malgré toutes les précautions, il est possible que les services RH ne soient pas tout à fait prêts pour l'entrée en vigueur du RGPD le 25 mai. Mais pas de panique. Les spécialistes sont sur la même longueur d'onde : le secteur des ressources humaines n'a pas forcément à s'inquiéter. "Soyons francs. Dans les entreprises, le RGPD peut être à moyen terme un chamboulement pour les services marketing ou commerciaux qui prennent parfois quelques libertés avec la gestion des données personnelles. Pour les RH, les choses sont différentes car la législation est déjà importante", note François Geuze, qui estime comme Cécile Martin que le RGPD ne changera pas grand-chose.
"La Cnil ne va pas chercher à mettre les entreprises en difficulté"
Et même si des manquements sont à déplorer dans les entreprises de l'Hexagone, cela ne signifie pas automatiquement une sanction financière immédiate de la part de la Cnil. Cécile Martin, qui a été juriste à la Cnil, est bien placée pour le savoir : "Face au RGPD, l'autorité compte adopter une approche pédagogique. Elle va être intransigeante sur des droits basiques comme la rectification, l'accès aux données, le droit à l'opposition ou encore l'information des personnes concernées. Mais c'est déjà le cas depuis 1978 et l'entrée en vigueur de la loi informatique et libertés". Un avis que partage François Geuze : "La Cnil ne va pas chercher à mettre les entreprises en difficulté. Elle va laisser une période de latence et chercher dans un premier temps à faire émerger les meilleurs usages".