Le RGPD, Règlement général sur la protection des données, entre en vigueur le 25 mai 2018. L’occasion de se pencher sur une catégorie de données qu’il ne faudrait pas oublier : celles de vos employés.
S’il s’inscrit dans la continuité de la loi informatique et libertés de 1978, le RGPD fixe un nouveau cadre européen qui renforce le contrôle par les citoyens sur l’utilisation qui peut être faite des données les concernant. Toutes les entreprises, y compris les TPE-PME, ont à traiter des données personnelles permettant d’identifier des personnes physiques. Afin de les sensibiliser, la Cnil (commission nationale informatique et liberté) et Bpifrance Le Lab viennent d’éditer un guide pratique et des fiches pédagogiques à destination des TPE-PME. L’une d’elles concerne la protection des données des collaborateurs. De très nombreuses données personnelles sont en effet nécessaires pour la gestion des ressources humaines. Elles sont notamment utiles pour gérer la paie, les déclarations sociales, l’organisation du travail...
RH et protection des données : les conseils de la Cnil et Bpifrance
- Ne collectez que les données utiles pour accomplir vos missions.
- Évitez de traiter des données dites « sensibles » : activité syndicale, opinions politiques, religion, origine ethnique, santé. Si vous devez les traiter, des obligations particulières s’imposent.
- Assurez-vous de garantir la confidentialité et la sécurité des informations « à risque » dont vous disposez, comme les coordonnées bancaires, le numéro de sécurité sociale… Seules les personnes habilitées doivent en prendre connaissance. Les actions sur ces données doivent être enregistrées : il importe de savoir qui se connecte à quoi, quand et pour quoi faire.
- Veillez à informer vos collaborateurs chaque fois que vous leur demandez des informations, par exemple à l’occasion d’une demande de formation, d’un entretien d’évaluation…
- Gardez à l’esprit que vos collaborateurs sont en droit de vous demander une copie de toutes les données les concernant que vous possédez (enregistrements téléphoniques, relevés de badgeuses, messages envoyés via la messagerie professionnelle…), y compris en cas de litige ou lorsqu’un employé n’est plus en poste.
Qu’en est-il des données collectées lors d’un recrutement ?
La règle : lorsque vous recrutez un nouveau collaborateur, vous ne pouvez pas demander tout et n’importe quoi aux candidats.
- Seules les données concernant le poste à pourvoir peuvent être collectées.
- Informez les candidats de ce que vous allez faire des données qu’ils vous confient. Ils doivent pouvoir y avoir accès, les faire rectifier ou supprimer.
- Une fois votre nouveau salarié choisi, supprimez les informations des candidats non retenus, sauf s’ils acceptent de rester dans votre « vivier » (durée limitée à 2 ans).
Respect de la vie privée : au travail aussi
La Cnil et Bpifrance Le Lab abordent aussi les limites du contrôle de l’activité des employés. Plusieurs conseils répondant à deux règles simples – « N’abusez pas de votre pouvoir » et « Soyez transparent » sont développées, exemples concrets à l’appui. Des fiches pratiques « Travail et protection des données » sont également dédiées à ce sujet spécifique (écoute et enregistrement des appels, vidéosurveillance, contrôle d'accès aux locaux, outils informatiques, géolocalisation des véhicules...).
Tous concernés !
Enfin, la Cnil et Bpifrance Le Lab rappellent que le respect du RGPD n’est pas uniquement l’affaire des juristes et des informaticiens. En tant que professionnel en relation avec les clients, fournisseurs, prestataires, prospects… mais aussi en tant que citoyen, chaque employé est concerné. Leur conseil : profitez de la mise en place du RGPD pour sensibiliser et former vos collaborateurs aux règles à suivre en matière de protection des données. Une fois que votre entreprise sera au clair avec le RGPD, bien sûr !
Pour aller plus loin :
- téléchargez la fiche « Protégez les données de vos collaborateurs »
- téléchargez le « Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises »
- consultez le site de la Cnil
