Blog Données personnelles
Où en êtes-vous de la conformité de vos fichiers RH ?
Presque 2 ans après l’entrée en application du RGPD, la gestion des données RH continue d’être un enjeu majeur pour les organisations de toute taille.
Bien que très encadrés par le Code du travail, le Code de la sécurité sociale et d’autres textes, les fichiers RH sont, avec les fichiers clients, ceux qui soulèvent généralement le plus de difficultés. Celles-ci tiennent notamment à la multiplicité des traitements que les employeurs doivent obligatoirement mettre en œuvre, dans des conditions strictes de respect de la vie privée des salariés, à la complexité des SIRH, dont l’adaptation nécessite une grande capacité de coordination et d’entente entre les différents services (DRH, direction juridique et DSI en particulier). La diversité des acteurs intervenant dans ces traitements, qu’ils soient sous-traitants, responsables distincts ou conjoints, les risques cyber associés aux données des salariés (voir les nombreuses attaques récentes ciblant les données des salariés) et les contraintes liées à l’usage des nouvelles technologies, comme la reconnaissance faciale ou d’autres outils biométriques ou encore l’intelligence artificielle, auxquelles les entreprises ont de plus en plus recours pour des finalités de sécurité ou d’amélioration de leurs process (de recrutement et de gestion des talents notamment), sont autant de points à prendre en compte. Les difficultés sont d’autant plus importantes que l’entreprise s’insère dans une organisation globale, avec des traitements parfois centralisés au niveau de la société mère par exemple.
On sait également que le RGPD est devenu un levier, aussi bien pour les salariés que pour l’employeur, dans le cadre du contentieux prud’homal et disciplinaire. Pour le salarié, le RGPD est synonyme de nouveaux droits qui, s’ils ne sont pas respectés par l’employeur, peut entrainer des sanctions de la CNIL, mais également caractériser une faute invoquée dans un contentieux prud’homal. Pour l’employeur, la violation par un salarié de son obligation de confidentialité et de sécurité des données personnelles peut constituer, sous certaines conditions, une faute justifiant un licenciement. Ces questions soulèvent également celle du contrôle de l’activité des salariés et des possibilités pour l’employeur d’utiliser les données personnelles des salariés dans le cadre d’enquêtes. Ces pratiques, si elles ne sont pas interdites, restent très strictement encadrées et nécessitent d’être anticipées en amont de toute difficulté pour s’assurer du respect des règles en matière de protection des données personnelles.
Pour aider les organisations face à ces défis, la CNIL a publié des projets de référentiels relatifs à la gestion des ressources humaines et des alertes professionnelles en avril 2019. L’application de ces référentiels n’est pas obligatoire, mais recommandée, dès lors que la CNIL considère que les organismes qui s’en écarteraient au regard des conditions particulières tenant à leur situation devront être en mesure de justifier l’existence d’un tel besoin, puis prendre toutes les mesures appropriées.
Autre « coup de pouce » accordé par la CNIL, aux PME uniquement, les traitements mis en œuvre uniquement à des fins RH et dans les conditions prévues par les textes applicables, à l’exception du recours au profilage, sont exonérés d’analyse d’impact.
Enfin, au-delà des traitements RH, les entreprises sont confrontées à de nouveaux défis de formation de leurs équipes, qui restent encore trop peu sensibilisées au sujet de la protection des données. C’est ce qui ressort notamment du Baromètre Data Breach du FIC de janvier 2020, qui rappelle que « qu’il s’agisse d’accidents ou d’attaques, le facteur humain demeure au cœur des incidents de sécurité informatique. En effet, nombreux sont les salariés qui tombent encore dans le piège du phishing et seule l’organisation de campagnes de sensibilisation au sein des entreprises et des institutions permettra d’inverser la tendance ».
Pour vous aider à appréhender l’ensemble de ces aspects, le département DELSOL Avocats organise une formation dédiée à ces sujets le 2 avril prochain au cabinet, ainsi qu’une matinale consacrée à la cybersécurité le 10 mars. Pensez à vous inscrire !