Durée de lecture : 6 minutes
Chez G-P, notre Global Growth Platform™, leader du secteur, aide les entreprises à libérer tout leur potentiel en constituant des équipes internationales hautement qualifiées en quelques jours au lieu de quelques mois. Mais comment le personnel du monde entier peut-il collaborer de manière optimale ? Nous discutons ici des opportunités — et des défis — pour atteindre le type de croissance internationale et de succès que nous pouvons tous partager.
G-P. Le monde à portée de main.
Le règlement de l’UE (Union européenne) 2016/679, aussi connu sous le nom de Règlement général sur la protection des données (RGPD), est entré en vigueur le 25 mai 2018 après une période de transition de deux ans. Le règlement exige que toutes les entreprises opérant dans l’Union européenne adoptent de nouvelles politiques, procédures et pratiques en matière de gestion des données personnelles de leurs clients, utilisateurs, fournisseurs et travailleurs.
Le RGPD a une incidence massive sur les services des ressources humaines, car ces derniers doivent adapter leurs processus afin de se plier aux exigences de cette réglementation.
L’objectif du RGPD est de normaliser et de renforcer les droits des résidents européens en ce qui concerne leurs données personnelles. Cela signifie que toute entreprise traitant les données personnelles de résidents de l’UE doit se conformer aux nouvelles normes en matière de transparence, de sécurité et de responsabilité.
Quelles sont les conséquences du RGPD sur les ressources humaines ?
Le RGPD exige que les entreprises ne stockent que des données essentielles, exactes et à jour sur les employés. De plus, les entreprises doivent clairement communiquer comment, où et pendant combien de temps les informations personnelles des employés seront conservées. De la même manière, les employés peuvent utiliser leurs informations à tout moment, demander une copie des données conservées et en ordonner la suppression.
Les équipes RH doivent comprendre le risque et la responsabilité impliqués dans le traitement des informations des employés pour éviter les sanctions, car le non-respect peut entraîner des amendes pouvant aller jusqu'à EUR€20 millions, ou 4 % du chiffre d'affaires annuel.
Facteurs clés du RGPD sur les ressources humaines
Pour se conformer au RGPD, les équipes de ressources humaines doivent adapter et améliorer leurs processus de gestion des employés afin de garantir les droits de ces derniers et de respecter les consignes en matière de protection des données.
Voici les facteurs essentiels que les ressources humaines doivent prendre en considération :
1. Recueil de données personnelles
Le recueil et le traitement de données personnelles sont légitimes, mais doivent se limiter aux informations correspondant à l’exécution du contrat de travail (par exemple, les systèmes d’horaires et d’assiduité) ou aux informations nécessaires au respect d’une obligation légale (par exemple, la gestion de la paie).
Un consentement est nécessaire lorsqu’il n’existe aucun autre fondement juridique validant le traitement des données (par exemple, un compte de messagerie personnel).
2. Droit des employés à être informés
Les entreprises sont tenues d’informer les employés de la finalité et du fondement juridique du traitement des données personnelles et de leur durée de conservation. Ces informations doivent être fournies au moment du recueil des données personnelles de l’employé.
3. Nouveaux droits pour les employés
Le RGPD a introduit de nouveaux droits pour les employés, tels que le droit à la portabilité des données, qui leur permet d’obtenir et de réutiliser leurs données personnelles comme ils le souhaitent sur différents services. Il réglemente également certains droits, tels que le droit à l’oubli qui permet aux employés de demander la suppression de leurs données personnelles, et le droit de rectification, qui leur accorde le droit d’obtenir la rectification de données personnelles erronées.
Le droit de s’opposer aux activités de profilage empêche les entreprises de prendre des décisions basées uniquement sur un traitement automatisé, ce qui aura une incidence importante sur la mise en œuvre de logiciels d’intelligence artificielle dans le domaine des ressources humaines.
4. Délégué à la protection des données
Les entreprises doivent nommer un délégué à la protection des données (DPD) qui agit de manière indépendante et dispose des ressources nécessaires pour s’acquitter de ses fonctions. Le DPD est chargé du suivi de la politique de protection des données de l’entreprise et de sa mise en œuvre pour veiller au respect du RGPD.
5. Évaluations d’incidence et atteintes à la sécurité
Les entreprises doivent effectuer des évaluations d’incidence afin d’identifier les opérations qui présentent un risque important d’atteinte à la sécurité ou envers les droits des travailleurs. En cas de violation de données personnelles, les entreprises doivent en informer les autorités au plus tard 72 heures après s'en être rendu compte.
6. Télématique et codes de conduite
Les entreprises doivent examiner leurs politiques internes et leurs codes de conduite concernant l’utilisation de la télématique afin de s’adapter aux nouvelles exigences en matière de protection des données. En outre, les entreprises doivent adapter leur contenu à l’arrêt de la Cour européenne des droits de l’homme (CEDH), ainsi qu’à l’incidence des nouvelles technologies sur le lieu de travail.
7. Vidéosurveillance
Les entreprises doivent également revoir leur procédure d’installation et d’usage en matière de vidéosurveillance. La CEDH indique que les travailleurs doivent être préalablement clairement informés de l’objectif d’une installation de caméras fixes, conformément aux dispositions de la réglementation sur la protection des données.
8. Transfert international de données en dehors de l’UE
Le transfert des données personnelles des employés vers des pays hors UE représente un énorme risque, car leur protection n'est pas garantie. Le RGPD a imposé certaines restrictions en vue de limiter la faculté par les entreprises de transférer de telles données, et de faire respecter les droits des employés.
9. Contrats avec les prestataires tiers
Il est nécessaire de mettre à jour les contrats avec les fournisseurs ou les prestataires qui ont accès aux données personnelles de l’entreprise afin de veiller au bon respect des exigences du RGPD. Cela concerne les contrats avec les prestataires de recrutement et de gestion de la paie.
En raison du volume de données personnelles qu’une entreprise gère au cours de tous ses processus, la contribution du service des ressources humaines à la conformité au RGPD est cruciale. Il est donc essentiel de prendre en considération tous les éléments du RGPD afin de mettre en œuvre un plan d’action efficace.
Que peuvent faire les équipes de ressources humaines pour se conformer au RGPD ?
Le RGPD exige des entreprises qu’elles soient proactives et responsables en ce qui concerne la mise en œuvre de mesures techniques et organisationnelles en matière de traitement des plaintes relatives aux données.
Les entreprises sont tenues d’analyser le type de données qu’elles traitent, la façon dont elles les traitent et le but de ce traitement. Voici quelques conseils pour aider les équipes de ressources humaines à se conformer au RGPD :
1. Embaucher un délégué à la protection des données (DPD)
Comme l’impose l’article 37 du RGPD, l’embauche d’un DPD est cruciale. Un DPD est chargé de la supervision des stratégies de protection des données de l’entreprise et veille au respect des exigences du RGPD.
2. Faire l’inventaire des données personnelles.
L’inventaire des données importantes facilite leur suivi et leur traitement et aide à vérifier la conformité de l’entreprise. Voici quelques éléments clés à prendre en considération lors du suivi des informations de votre entreprise :
- Identifier les données personnelles et les données sensibles, ainsi que les opérations de traitement existantes et en vérifier la conformité.
- Savoir qui (employés, prestataires ou fournisseurs) a accès aux données et pourquoi.
- Surveiller les employés, les prestataires et les fournisseurs qui travaillent avec les données de l’entreprise et examiner les contrats.
- Vérifier que tout traitement de données effectué par les prestataires et les fournisseurs est conforme au RGPD.
- Analyser les pratiques en matière d’archivage et la durée de conservation des données personnelles des ressources humaines.
- Veiller à ce que les solutions de ressources humaines et, le cas échéant, votre système d’information des ressources humaines (SIRH) soient conformes au RGPD.
3. Prendre des mesures
Une fois que vous avez fait un inventaire et identifié les corrections nécessaires, il est important de créer et de mettre en œuvre un plan d’action dans lequel vous définissez les étapes à suivre.
Assurez-vous de réaliser ce qui suit :
- Vérifier les données
- Mener des évaluations d'incidence
- Passer en revue vos mesures de protection et de sécurité
- Passer en revue vos processus et vos procédures.
4. Mettre en œuvre un plan de communication
Il est important de mettre en œuvre un plan de communication interne afin que tous vos employés sachent comment accéder à leurs informations et ce qu'il y aura lieu de faire en cas de changement dans ce processus. Une partie de la nouvelle réglementation exige que les entreprises communiquent clairement comment, où et pendant combien de temps les informations personnelles des employés seront conservées.
5. S'assurer que les données conservées sont les bonnes
Les entreprises doivent s’assurer de ne conserver que les données corrigées et mises à jour. Elles doivent également identifier les données qu’elles peuvent conserver et celles qui doivent être supprimées. Moins vous avez de données, plus il sera facile de respecter le Règlement général sur la protection des données (RGPD).
6. Passer en revue les politiques de confidentialité
Les entreprises doivent être transparentes en ce qui concerne les données qu’elles traitent. L’examen des accords de confidentialité est source de transparence et inspire confiance. Mettez à jour les politiques et procédures de sécurité des données en utilisant un langage clair et simple, et assurez-vous que ces politiques sont facilement accessibles.
7. Respecter les droits des employés
Comme nous l’avons mentionné, le RGPD établit de nouveaux droits pour les employés. Il est crucial de veiller à ce que ces droits soient respectés pour éviter des sanctions.
8. Adopter le RGPD dans le cadre de la culture d’entreprise
Il est important que les entreprises fassent connaître les réglementations en interne. En les intégrant à la culture d’entreprise, vous vous assurez que tous les employés les connaissent et les comprennent.
9. Améliorer la sécurité
Assurez-vous que les données sont sécurisées et évitez les fuites. En cas de violation des données, les parties concernées doivent être informées dans un délai de 72 heures. Pour éviter les fuites, vous devez avoir recours à des services de stockage de données fiables, en plus de mettre à jour vos politiques de sécurité.
10. Obtenir le consentement des employés
Il est essentiel que vous informiez vos employés des mesures et procédures en cours, et que vous obteniez leur consentement au traitement et au transfert de leurs données. Ce consentement doit représenter l’expression libre, éclairée et claire de leur accord.
Au-delà de l’obligation qu’il représente, le RGPD peut contribuer à améliorer les performances de votre entreprise, ainsi que la confiance et le bien-être des employés. Cependant, cela n’arrivera que si vos données et vos mesures de sécurité, vos outils, vos méthodes et vos processus sont rationalisés.
Ces nouveaux défis donnent aux services des ressources humaines la possibilité d’être les moteurs de l’internationalisation de leur entreprise, renforçant la qualité de sa coopération avec ses fournisseurs et ses prestataires. Une politique claire sur la gestion des données personnelles permet également d’améliorer la réputation des entreprises et de les rendre attrayantes en tant qu’employeurs.
