Mai 2018 marquera l’entrée en vigueur dans l’Union européenne d’une nouvelle série de règles baptisée RGPD ou Règlement général sur la protection des données. Ces nouvelles règles concerneront toutes les entreprises qui traitent les données personnelles de citoyens de l’UE (y compris celles de collaborateurs). D’autre part, toute infraction au nouveau règlement entraînera des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial (en fonction du montant le plus élevé). Votre entreprise doit donc se conformer au plus tôt.
Les entreprises ayant besoin de systèmes de données plus flexibles, le RGPD aura forcément d’importantes répercussions sur les ressources humaines et la gestion du personnel. Regardons de plus près les six grandes implications du RGPD pour votre département RH afin de cerner les mesures de mise en conformité à prendre.
1. Consentement obligatoire
Si vous devez déjà obtenir l’autorisation de vos collaborateurs avant de conserver leurs données depuis plusieurs années, le nouveau règlement introduira la nécessité d’obtenir un consentement « spécifique, éclairé et univoque ». Par conséquent, les consentements actuels de vos salariés devront probablement être reformulés afin de ne laisser aucun doute sur la nature des données collectées.
Vous devrez par ailleurs offrir à vos collaborateurs la possibilité de revenir sur leur consentement à tout moment. Il vous faudra donc un système facilement éditable. Dans vos contrats d’embauche, les clauses de consentement standard courantes seront peu susceptibles de respecter les nouvelles règles. Votre entreprise devra par conséquent très certainement rédiger de nouveaux contrats pour vos collaborateurs.
2. Durée de conservation des données
En vertu du RGPD, les entreprises ne pourront conserver des données que tant qu’elles en auront besoin. Prenons par exemple les données des travailleurs temporaires. Elles ne vous seront probablement nécessaires que pour une courte durée. Passée cette période, vous ne pourrez plus les stocker, à moins d’avoir recueilli le consentement des intéressés, comme mentionné plus haut.
Votre entreprise risque également de devoir remplacer son système de gestion des ressources humaines. Par exemple, si votre système actuel ne vous permet pas de récupérer et de supprimer définitivement des données dont vous n’avez plus besoin, il vous faudra peut-être migrer vers un système conforme au RGPD, comme le logiciel de gestion du personnel de Planday, spécialement conçu pour conserver et contrôler toutes vos données RH de façon centralisée.
3. Finalité stricte du traitement des données
Notons également que le RGPD limitera l’utilisation que font les départements RH des données personnelles des salariés. Plus précisément, les entreprises devront informer leurs collaborateurs de l’utilisation qui sera faite de leurs données et ne pourront pas les utiliser à d’autres fins. Selon certains, une telle règle pourra perturber le fonctionnement d’entreprises qui font appel à de nombreux professionnels indépendants, en les empêchant de stocker leurs données personnelles sans leur permission.
D’autre part, elles risquent de devoir contacter un grand nombre de personnes avec lesquelles elles ont collaboré pour recueillir leur consentement en vue de pouvoir utiliser leurs données à l’avenir.
4. Notification des violations de données
Le RGPD est sans aucun doute né d’une volonté de faire face à l’explosion des cas de piratage et de cyberattaques. Les législateurs s’inquiètent de plus en plus du laxisme dont font preuve les entreprises face aux cybercriminels. Hormis l’absence de mesures suffisantes pour se protéger elles-mêmes, les entreprises négligent également la protection des données qu’elles détiennent. Le RGPD les contraindra donc à notifier toute personne concernée par une violation de données dans les 72 heures suivant sa découverte.
Cela s’applique de la même manière aux données des salariés. Ainsi, les employeurs devront informer leurs collaborateurs d’éventuels vols de données personnelles « dans les meilleurs délais ».
5. Vérification des casiers judiciaires
Si le RGPD ne s’oppose pas à la vérification des antécédents judiciaires pour l’accès à certaines fonctions dites sensibles, le nouveau règlement n’autorisera pas la conduite de vérifications systématiques des casiers de tous les salariés. Même l’obtention d’un consentement ne pourra certainement pas rendre une telle procédure légale.
6. Chiffrement des données
Toutes les données collectées par un département RH devront faire l’objet de mesures de sécurité afin de maintenir la conformité de l’entreprise au RGPD. Tout type de données sensibles à caractère personnel devra être traité avec précaution. Or, l’un des moyens de protection les plus efficaces reste le chiffrement des données. Toutefois, ne vous limitez pas au chiffrement des seules données RH que vous stockez. Pour être 100 % conforme au règlement, il est important de chiffrer les transferts de données ainsi que les e-mails, afin de les protéger contre d’éventuelles cyberattaques.
Pour renforcer votre protection, vous pouvez également recourir à l’authentification forte et au contrôle des accès. En effet, en limitant le nombre de personnes ayant accès à certaines informations (sur la base des besoins de chacun), vous pouvez réduire les risques de perte de données et de piratage.
Il serait en somme judicieux de mener une évaluation et un audit complets de l’ensemble de vos processus de stockage des données RH. Cela vous permettrait de vérifier la conformité de votre entreprise au RGPD avant son entrée en vigueur le 25 mai 2018.
À propos de l’auteur
Rédacteur indépendant, Mike James est spécialisé dans les technologies et la cybersécurité. Il est établi à Brighton au Royaume-Uni. Ses articles sont publiés sur de nombreux grands sites et magazines presse. Mike collabore régulièrement sur des sujets relatifs au hacking éthique et aux tests de pénétration, notamment pour la mise en œuvre optimale de ces technologies dans les entreprises de tous types et de toute taille. Mike collabore fréquemment avec Redscan, un fournisseur leader de solutions de cybersécurité au Royaume-Uni, et d’autres entreprises. Lorsqu’il n’écrit pas sur des sujets « geek », il écrit également sur des recettes et programmes d’exercices.
Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.