RGPD et Process RH

Les Ressources humaines au coeur de la protection des Données.

Du côté des organisations et des process RH mis en oeuvre sur les salariés et collaborateurs, nombreux sont les acteurs qui ont à connaître de ces données, tant les personnels de l’organisation, que les tiers extérieurs (caisses, organismes sociaux, prestataires services, …). 

Un environnement professionnel étendu est donc appelé à « manipuler » des données à caractère personnel voire sensibles. Recenser et tracer l’utilisation de  données personnelles récoltés revêtent une importance particulière pour protéger les salariés et assurer la confidentialité de leurs données. 

Au delà des exigences attachées au traitement des informations personnelles des collaborateurs et des mesures tant organisationnelles que techniques mises en oeuvre, l’information et la sensibilisation même des collaborateurs y tient une place doublement stratégique.

NOS PRESTATIONS D’ACCOMPAGNEMENT

Quels que soient les traitements concernés (recrutement, traitement et transmission de le paye, dossier médical, notes de frais, gestion des absences, etc…), nous vous accompagnons dans l’audit et la validation de vos traitements RH à l’aune du RGPD.

    • Cartographier les différents traitements RH de données à caractère personnel, leurs modalités de fonctionnement 
    • Informer et communiquer auprès des salariés sur leurs droits (et leurs devoirs)
    • Sensibiliser l’ensemble des collaborateurs sur leurs propres rôles dans une organisation « compatible » RGPD 
    • Recenser et distinguer les données personnelles « normales » des informations « sensibles » au sens du RGPD,
    • Vérifier le rattachement de la données à une finalité de traitement (objectif) autorisée, connue et acceptée
    • Contrôler l’exactitude des données RH sur les salariés (données à jour, à compléter, à supprimer)
    • Valider les base légale associées aux traitements RH (recherche du consentement ou d’une autre base légale) et le cas échéant le reformuler
    • Définir la pertinence de tout ou partie données collectée pour les besoins des traitements RH identifiés
    • Confirmer les durées de stockage attachées aux différentes données d’état civil, économique, social, etc… selon la responsabilité de l’organisation et les caractéristiques liées au traitement.

Vous avez de nombreuses questions et souhaitez définir et évaluer votre accompagnement ? :

Exemple : RGPD et recrutement

    • Quelles sont les données personnelles récoltées lors des entretiens de recrutement (CV, Etat civil, photos, diplômes, docuemtns d’identité, portfolios, etc…) ?
    • Quelles sont les différentes voies et étapes possibles d’une démarche de candidature jusqu’à l’embauche  (candidatures spontanées, formulaires de candidatures, recommandations, courrier, annonce en ligne, etc…)
    • Quelle est la politique de stockage des CV, où et combien de temps ? 
    • Comment sont gérées dans le temps les données personnelles récoltées via les formulaires de contact ? 
    • Le consentement des candidats à la conservation de leurs CV et données est il tracé et univoque ? 
    • Quelle est la politique de conservation et d’archivage des données personnelles lors des entretiens d’embauche, avec quel suivi ? 
    • Est-il prévu une procédure de transfert des données personnelles issues de phases de recrutement vers les bases de données du personnel lorsqu’un candidat est embauché ou que deviennent-elles à l’issue d’une non sélection ? le candidat est-il informé ?
    • Les informations d’un employé sont elles stockées dans deux bases de données distinctes pour l’avant et après recrutement ?
    • Etc..

Exemple : RGPD et Paie

  • Les habilitations des personnes autorisées des services RH sont-elles contrôlées régulièrement ? 
  • Le niveau d’autorisation et d’accès aux informations RH sur chaque et pour chaque collaborateur RH est il défini et maîtrisé ? 
  • Les actions sur le champ des donnés RH sont elles tracées (journalisations) et conservées afin d’identifier de s intrusions éventuelles ?
  • Quelles sont les informations financières transmises, comment et à qui pour le paiement des salaires du mois ? les transferts qui les accompagnent sont-ils sécurisés ? .
  • Les informations à conserver par l’employeur une fois l’employé parti et sur quel support d’archive sont elles définies et une procédure de restitution et destruction prévue à leur terme (par exemple, 5 ans après le départ du salarié pour les bulletins de paie) ?
  • Comment reconstituer une bulletin dans l’intervalle entre plusieurs versions du logiciel de paie en cas de contestation (version de paye archivées, variables utilisées, restauration mono-poste, etc…?)   
  • Etc… 

Exemple : RGPD et informations médicales

    • Par défaut, les informations médicales sur les salariés sont considérées comme des données particulières dites « données sensibles » au sens du RGPD. 
    • Concernant les données sensibles (dont les données syndicales, religieuses ou politiques), le RGPD recommande d’effectuer une analyse de risque dès lors qu’une menace importante et vraisemblable d’atteinte aux données personnelles est identifiée (vol, détournement, crash, perte, malveillance etc…). un audit spécifique des traitements de données sensibles a t’il-été effectué ou prévu ?
    • Quelles sont les mesures de protection prises par défaut pour assurer la protection et la confidentialité des données de santé des salariés en interne ? lors de la protection des informations aux organismes concernés (CPAM, mutuelles, médecine du travail, etc…) ?
    • Etc

Exemple : RGPD, gestion des déplacements et notes de frais

    • Les éléments relatifs à la mobilité des salariés dans le cadre professionnel concentrent un nombre important de données à caractère personnel sur les collaborateurs (durée et nature des déplacements, lieux de résidence, géolocalisation véhicules, gestion de tournée, dépenses alimentaires, CB et informations bancaires, etc…)
    • Le recensement des applications collaborateurs internes (intranet collaboratif, applications mobiles ou distantes) a t’il été fait ? Comment sont stockées et sécurisées les données personnelles collectées et organisées dans chacun de ces applicatifs ?
    • Comment sont collectés et transmis les justificatifs de frais, où et comment sont ils stockées et sécurisés selon les formats (numériques ou papier) ?
    • Une politique de minimisation de l’utilisation des données personnelles est-elle mise en place dans le cadre de la collecte et du traitement des justificatifs de frais ?    
    • Etc…