Je vous propose aujourd’hui un petit calcul mental.
Comptez le nombre de questions que vous posez à un nouvel employé, fraîchement arrivé, sur la fiche de renseignements que vous lui demandez de remplir lorsqu’il rentre dans votre entreprise. Nom, prénom, adresse postale et email, numéro de sécurité sociale, nom de la personne à joindre en cas d'accident, numéro de téléphone…Bien, vous avez un chiffre ?
Multipliez désormais ce chiffre par le nombre d’employés que vous avez. Le résultat de ce calcul rapide ? Le nombre de données employés que vous possédez sur vos salariés actuels. Et c’est bien sûr sans compter toutes les fiches de congés payés, de paie, d’arrêt maladie, ou encore tous les contrats que vous avez accumulé au cours des dernières années, et ceux que vous engrangerez dans les suivantes...
Mais le saviez-vous ? Une législation, entrant en vigueur le 25 mai, risque de secouer vos pratiques face à ces données employés. Il s’agit du RGPD, aussi nommé GDPR dans sa version anglophone. Cette législation européenne veut que toute donnée à caractère personnel (soit toute donnée qui permet d’identifier une personne physique) soit protégée au maximum. Si la législation n’est pas respectée, de grosses amendes forfaitaires sont prévues par la CNIL, ainsi qu’une mauvaise image de marque ou une marque employeur mise en péril.
Car, si l’on a beaucoup parlé de l’impact que le RGPD va avoir sur les pôles marketing et commerciaux des entreprises, on entend moins parler du pendant RH de la question. Pourtant, vous l’avez vu : vous aussi, en tant que responsable RH ou formation, en traitez par centaines chaque année.
Nous vous proposons donc de vous présenter 4 éléments qui vont devenir essentiels à mettre en place pour les RH face au RGPD dans leurs pratiques quotidiennes, tout en vous décodant à chaque fois des pans de cette réglementation.
Quelle que soit la taille de votre entreprise, vous avez tout intérêt à vous lancer dans l’employee advocacy. Nous allons vous donner dans cet article 4 étapes simples à mener pour lancer votre propre programme sans tomber dans les écueils de la communication trop corporate.
Étape 1. Veiller à ce que les employés soient au courant de leurs droits liés au RGPD
Si nul n’est censé ignorer la loi, il y a quand même fort à parier que de nombreux collaborateurs ne seront pas au courant de l’arrivée du RGPD, et des droits fondamentaux qu’ils en tireront face à leurs données personnelles internes à l’entreprise. Avant même le 25 mai, il vous faudra donc vous assurer qu’ils les connaissent.
Le meilleur moyen est de faire circuler avant la mise en application du RGPD une note d’information qui les informera de leurs droits. Faites-y figurer :
- Les données qui ont été ou sont récoltées sur eux au quotidien, et par quel biais cela est fait (emails professionnels, applications RH externes comme les SI-RH, LMS ou encore logiciels de paie…) ;
- Le traitement que vous faites de ces données (gestion des paies, des congés, des formations, enquêtes de satisfaction…) ;
- Les destinataires de ces données, en interne ou en externe ;
- Le temps de conservation de ces données ;
- Leurs droits à l’accès, à la rectification ou à la suppression de leurs données à caractère personnel ;
- Les coordonnées de la personne à contacter pour échanger à propos de ces données : les grandes entreprises ont obligation de nommer un DPO, un délégué à la protection des données - renseignez-vous donc auprès de votre direction pour savoir s’il a d’ores et déjà été nommé.
Vous pouvez vous inspirer de la notice d’information que la CNIL avait déjà mise en ligne lors de l’arrivée de la Loi Informatique et Liberté, concernant la géolocalisation des véhicules de fonction, et l’enrichir des divers éléments mentionnés ci-dessus.
Pour les nouveaux salariés qui intègrent votre entreprise, veillez à rentrer ces éléments dans votre processus de signature des contrats, dès le début de leur activité.
Étape 2 : Mettre en place un processus de rectification et d'effacement des données
Nous l’avons mentionné dans le point précédent : avec l'arrivée du RGPD, chaque employé est en droit de demander à tout moment d'accéder, de rectifier, voire de supprimer ses données à caractère personnel. Un autre élément particulier de la législation veut que tout salarié puisse demander à transférer ses données, sous un format lisible, à un tiers (notamment une autre entreprise, lorsqu’il quitte la vôtre pour une autre). On appelle ce droit le droit à la portabilité.
Face à ces nouvelles exigences, il vous faudra donc mettre en place rapidement un processus qui permet aisément aux employés de faire cela. Plusieurs possibilités s’offrent alors à vous :
- Créer une plateforme interne, d’où ces actions peuvent être automatiquement faites.
- Mettre en place un process fixe avec le DPO, pour qu’il gère les demandes via une adresse email interne dédiée, type donneesinternes@votreentreprise.com
Une fois reçue, la demande doit être rapidement mise en oeuvre.
Étape 3 : Penser en terme d'étude d'impact pour les données sensibles
Il est fréquent que les RH aient besoin de traiter des données employés sensibles pour mener des actions. Pensez notamment à la mise en place d’une vidéosurveillance dans les locaux, ou à l’utilisation de données hautement personnelles dans le logiciel RH interne (congés maladie ou maternité, par exemple). Autant de données dites “sensibles”, car impliquant véritablement leur personne physique et morale (leur image, leur santé, leur vie privée...).
À compter du 25 mai, avant même de lancer ce type d’action, il vous faudra systématiquement mener une analyse d’impact relative à la protection des données, aussi nommée DPA. Cette DPA doit étudier les risques sur la vie privée que peuvent induire ces actions. Comme le décrit la CNIL, un “risque sur la vie privée” désigne un “événement redouté” (comme un accès non-autorisé, par un hackeur par exemple, à des données à caractère personnel) ainsi que “toutes les menaces qui permettraient qu’il survienne”. Grosso modo : l’analyse d’impact cible, en amont de l’action, à quel point les données sensibles peuvent être menacées par une intrusion externe, non voulue.
Ce risque doit être évalué en termes de gravité et de vraisemblance, et les salariés doivent en être informés avant que l’action soit prise, pour donner leur consentement face à ce risque.
Sachez que, si vous collectez des données personnelles à très large échelle (comme ce peut être le cas lorsque vous menez une enquête de satisfaction employé dans une grande entreprise, par exemple), cette DPA est absolument obligatoire.
Étape 4 : Bien choisir les prestataires externes qui traitent vos données employées
Jusqu’alors, nous avons beaucoup parlé de l’implication du RGPD sur les données traitées en interne dans l’entreprise. Cependant, la majorité des entreprises délègue une partie, voire l’intégralité, du traitement de ses données employés à des prestataires externes. Logiciels de paie, SI-RH, LMS, agences de communication corporate, solutions d’enquête de satisfaction employé… Les solutions et logiciels externes à l’entreprise, qui manient la data de vos salariés, ne manquent pas.
Or, face au RGPD, la responsabilité face à la sécurité des données employés, ainsi que face à la récolte de leur consentement, est co-partagée par l’entreprise et le prestataire qui se charge du stockage et du traitement de la data. Il vous faut donc veiller à choisir des prestataires qui se conforment au RGPD : ils doivent vous assurer de la protection optimale des données que vous leur transférez, et justifier de chacun des traitements qu’ils en font.
Pour bien les choisir, ou bien renouveler les contrats que vous avez d’ores et déjà passé avec eux, n’hésitez pas à vous inspirer de la checklist que nous avons créée pour les pôles marketing. Vous la trouverez dans la deuxième partie de notre infographie dédiée, en cliquant ici. Cette checklist contient toutes les questions à aborder avec vos prestataires, et à intégrer à vos contrats avec eux.
Chez Diduenjoy, nous avons travaillé d’arrache-pied pour proposer une solution d’enquête de satisfaction conforme au RGPD en tout point. Notre objectif : assurer la protection des données employés, pour mener des questionnaires de satisfaction employé qui donneront la possibilité aux RH de mener des actions concrètes en toute sérénité, face à une législation qui se durcit concernant les données à caractère personnel.