Conseils pratiques pour une mise en œuvre apaisée du RGPD dans la filière RH

30/10/2020 - 6 min. de lecture

Conseils pratiques pour une mise en œuvre apaisée du RGPD dans la filière RH - Cercle K2

Le Cercle K2 n'entend donner ni approbation ni improbation aux opinions émises dans les publications (écrites et vidéos) qui restent propres à leur auteur.

Kamel Adrouche, en charge de la Politique de rémunération et performance RH de la RATP, et Thomas Passerone, Avocat et Docteur en droit.

---

300 contrôles réalisés, 3573 vérifications effectuées, 2287 violations de données confiées à la CNIL, 14.137 plaintes lui ayant été adressées en 2019, 50 millions d'euros d'amende pour Google en 2020, 35 millions pour H&M, ... Les chiffres du RGPD peuvent faire peur. Le respect de quelques règles méthdologiques permet pourtant de se conformer à ses obligations.

Depuis le 25 mai 2018, le RGPD impose un nouveau régime de déclaration des traitements des données personnelles qui doit répondre à ces obligations. Il repose sur une logique de responsabilisation (« accountability »).

Est considéré comme traitement toute opération effectuée ou non à l’aide de procédés automatisés et appliqués aux données personnelles tels que la collecte, l’enregistrement, la consultation, l’extraction ou encore la communication.

Les données personnelles sont, quant à elles, constituées de toute information qui permet d’identifier directement (nom, prénom, adresse mail nominative, photo, etc.) ou indirectement une personne physique (adresse IP, numéro de matricule, données de localisation, etc.).

Ainsi, un fichier Excel ayant pour objet de compiler des déclarations d’accidents du travail en vue d’établir des plans de prévention constitue un traitement de données personnelles. Il en va de même pour un dossier papier dans lequel l’ensemble des désignations des représentants syndicaux sont regroupées ou encore d’un « vivier de candidatures » à une embauche programmée.

En revanche, des fichiers statistiques sur la répartition des emplois femmes/hommes ou encore des indicateurs de reporting anonymisés permettant de s’assurer de la réalisation du plan de formation dans une unité n’entrent pas dans le cadre du RGPD.

Par ailleurs, peu importe le caractère « ponctuel » ou « récurrent » des traitements ou même le fait qu’ils soient alimentés par des outils RH d’une entreprise ou d’une administration qui satisfont aux obligations RGPD. Ils devront également faire l’objet de déclarations via des fiches de traitement dédiées dès lors qu’ils ont été créés et qu’ils satisfont aux conditions précitées.

Le 5 août dernier, la CNIL publiait sur son site une nouvelle délibération pour la première fois en coopération avec d’autres autorités de contrôle européennes. Il s’agissait de la première décision de la CNIL en tant que « chef de file », c’est-à-dire comme autorité de contrôle amenée à se prononcer lorsque les traitements de données à caractère personnel sont « transfrontaliers » au sein de l’Union Européenne.[1]

Une condamnation était alors prononcée à l’encontre d’une société spécialisée de vente en ligne de chaussures suite à plusieurs manquements au règlement européen sur la protection des données personnelles (RGPD). Celle-ci se vit infliger une amende administrative de 250.000 euros ainsi qu’une injonction sous astreinte de se conformer au RGPD.

Dans la liste des principaux manquements au RGPD figuraient notamment le principe de minimisation des données, l’obligation de limitation de la durée de conservation des données, l’obligation d’information des personnes ou encore l’obligation d’assurer la sécurité des données y  figurant.

5 minutes d'attention permettent de comprendre la philosophie du RGPD, qui repose sur une logique de risques et de responsabilisation ("accountability"), et d'éviter ainsi une condamnation.

Afin de permettre aux ressources humaines d’une entreprise ou d’une administration d’être pleinement acteurs dans la mise en œuvre des obligations RGPD, en liaison étroite notamment avec leurs correspondants RGDP ainsi que, le cas échéant, leur correspond RGPD filière RH, une méthodologie est proposée afin d’ordonnancer les actions à mettre en œuvre sur cette thématique.

Cette méthodologie se décline en deux étapes : l’établissement d’un diagnostic permettant de dresser un état des lieux de la situation (I) et la mise en œuvre d'un plan d'action afin de répondre au régime de transparence et de proportionnalité exigé par le RGPD (II).

 

I – Diagnostic des traitements de la filière RH

Le "recensement" et le "toilettage" des traitements porteurs de données personnelles (1) doit permettre d'identifier les traitements qui bénéficient "déjà" d'une déclaration (2) et de les catégoriser "par famille" en fonction des activités de l'entreprise (3). Ce diagnostic est indispensable à la mise en œuvre d'un plan d'action.

1)    Le « recensement » et le « toilettage »

Cette étape consiste à :

  • Procéder à l’inventaire exhaustif de l’ensemble des traitements (support informatique ou papier) porteurs de données personnelles (toute information concernant une personne physique identifiée ou identifiable) ;
  • Supprimer les fichiers obsolètes et/ou inutilisés dans le cadre de vos activités ;
  • Supprimer également les fichiers « redondants », qui peuvent être aisément obtenus via les outils RH d’entreprise.

Lors du recensement des traitements de données personnelles, l'on s'apperçoit bien souvent que certains sont inutiles ou redondants. Une même information étant conservée à plusieurs niveaux ou par plusieurs services. En rationalisant les traitements de données personnelles, l'entreprise ou l'organisation facilitera sa mise en conformité au RGPD.

2)    L’identification des traitements qui bénéficient « déjà » d’une déclaration

Les fichiers déjà déclarés n’ont pas besoin de l'être « à nouveau », sauf nouvelle donnée substantielle (nouvelle finalité, nouveau destinataire, etc.) qui n’apparait pas dans la déclaration initiale.

Afin de savoir si votre traitement est déjà « couvert » par une déclaration, il convient de se référer au Délégué à la protection des données (DPO)[2]ou aux correspondants RGPD. En cas de doute sur l'existence d'une nouvelle donnée substantielle, n’hésitez pas à solliciter vos correspondants RGPD.

3)    Catégoriser les traitements par « famille » en fonction de vos activités

Il peut être pertinent de déclarer par « groupe similaire » vos traitements afin d’éviter une démultiplication de vos fiches de traitement et éventuelles études d’impact (ex : les traitements relatifs à la gestion des compétences et des emplois, à la formation, aux carrières, aux instances représentatives du personnel, etc.).

Vous pourrez ainsi ensuite procéder aux déclarations ad hoc par le renseignement des fiches de traitement de vos « groupes de fichiers ».

 

II – Plan d’action et mise en œuvre des traitements de la filière RH

Le renseignement des fiches de traitement qui devront être transmises au DPO (3) suppose de se poser un certain nombre de questions préalables (1) et peut trouver des références utiles dans les documentations de la CNIL (2).

1)    Questionnement préalable à la réalisation des fiches de traitement

Le renseignement d’une (ou des) fiche(s) de traitement suppose d’être au préalable suffisamment « au clair » sur ce(s) dernier(s). Ce questionnement correspond à la "philosophie" du cadre réglementaire du RGPD lequel repose sur la responsabilisation et l'approche par risques.

Voici les principales questions à se poser afin de faciliter leur renseignement :

  • Quel est le Département MOA (responsable de traitement) ?
  • Quelles sont les finalités principales et secondaires du traitement ?
  • Quelles sont les personnes concernées par le traitement ?
  • Quelles sont les données nécessaires pour réaliser les finalités et origine de ces données (données saisies, extraites, générées) ?
  • Quels sont les destinataires des données (interne et externe) ?
  • Quelle est la durée de conservation des données avant suppression ou anonymisation ?
  • Existe-t-il une modalité de « purge » des données ?
  • Existe-t-il une modalité d'extraction des données d'une personne ?
  • Existe-t-il une modalité d'information des personnes ?
  • Quelles sont les mesures prises pour la sécurité du traitement ?
  • Y a-t-il un recours à un prestataire ou à une chaîne de sous-traitance (développement, maintenance, hébergement, etc.) ? Si oui, l’annexe RGPD est indexée au marché (avenant à faire) ?
  • Quelle est la localisation des serveurs où sont stockées les données ?

2)    Références utiles

Bien qu’elles ne soient plus valables depuis l’entrée en vigueur du RGPD, les anciennes « déclarations CNIL » édictées jusqu’alors (et destinées à couvrir tous les traitements locaux à l’époque) peuvent constituer des références utiles.[3]

Elles sont disponibles via votre DPO ou auprès de vos correspondants RGPD.

3)    Renseignement et transmission des fiches de traitement

Les traitements ayant été « identifiés, catégorisés et maîtrisés » dans leur contenu et leur utilisation, il convient désormais de renseigner les fiches de traitement correspondantes avec vos correspondants RGPD.

Elles seront ensuite transmises au DPO pour validation. La réalisation des éventuelles études d’impact (« PIA ») sera ensuite réalisée dans le même cadre.

 

Thomas Passerone et Kamel Adrouche

---

[1] Conformément à l’article 56 du RGPD et aux lignes directrices posées par le Comité Européen de la Protection des Données (EDPB, European Data Protection Board).

[2] Depuis le 25 mai 2018, les anciennes « déclarations CNIL » ont ainsi été remplacées par l’obligation de tenir un registre de tous les traitements de données à caractère personnel. Ce registre est constitué des fiches de traitement précitées.

[3] Le Délégué à la protection des données (Data Protection Officer, DPO) est le pilote de la conformité aux règles de protection des données au sein de la ou des structures qui l’ont désigné.

30/10/2020

Dernières publications