Au sein de l’entreprise, nous avons tendance à oublier qu’un·e employé·e est un·e internaute comme les autres, principalement parce que plusieurs de leurs données personnelles sont essentielles à la gestion de leur carrière :

– leur identité : CNI, Passeport, Carte vitale, Prénom, Nom, Photos… ;

– leur finance : salaire, RIB, situation fiscale, notes de frais… ;

– leur localisation : adresse personnelle, trajet de leur véhicule de fonction, déplacements défrayés… ;

– leurs échanges : messagerie instantanée, conversation téléphonique, e-mail… ;

– leurs actions : livrables, temps de travail (pointage), géolocalisation, rendez-vous (agenda partagé), absences (arrêts, congés etc.) …

Même si ces informations sont communes à la gestion de l’entreprise, le RGPD régule aussi la collecte et le traitement des données sur les employé·e·s, et ce, au même titre que tous les citoyen·ne·s européen·ne·s. Eux aussi peuvent exercer leurs droits de réclamer transparence, consentement et réversibilité du traitement de leurs données professionnelles.

Dans un contexte de transformation digitale, la mise en place d’une politique RGPD claire et transparente, quant à la protection des données des employé·e·s, peut renforcer la confiance envers les nouveaux usages numériques.

Voici les principales actions à passer en revue pour exploiter les données RH de vos salariés tout en respectant le RGPD :

Ce qu’on peut faire

Garantir l’enregistrement et la journalisation des actions effectuées sur les données RH

 Ce qu’on ne peut pas faire
  • Demander des documents et données sociales des candidats avant la signature de leur contrat d’embauche
  • Demander et collecter des informations extraprofessionnelles : famille, opinions politiques, appartenance syndicale, origine ethnique, religion…
  • Permettre la collecte des données RH à tout dispositif qui n’a pas été communiqué aux Employés et aux Candidats
 Ce qu’on doit faire
  • Transmettre, à la demande des candidats et des employés, une copie des données stockées les concernant
  • Limiter les outils à la collecte et aux traitements des données strictement utiles à la gestion administrative du personnel, l’organisation du travail et l’action sociale
  • Mettre en place des habilitations d’accès aux données :
    • Recruteurs : Accès aux données des candidats
    • Administration : Accès aux données sociales/comptables des employés
    • Gestion du personnel : Accès à toutes les données des employés
    • Supérieurs hiérarchiques : Accès strictement limité à l’exercice de leur fonctions (statistiques, évaluations, dépenses…)
    • Délégués du personnel : Accès aux données du Registre unique du personnel
    • CSE / Syndicat : Accès sur autorisation de l’employeur avec le consentement des employés (qui peuvent s’opposer à tout moment, à toute communication avec ces instances)
  • Expliciter aux Candidats le caractère obligatoire ou facultatif des réponses à fournir lors d’un recrutement, ainsi que les conséquences réelles et factuelles en cas de non-réponse
  • Demander aux Candidats l’autorisation de conserver ses données
  • Limiter à 2 ans la conservation des données Candidats
  • Limiter la conservation des données Employés à 5 ans après son départ

 

À lire en complèment

« RGPD, logiciels et données des employés : Que peut-on faire ? Ne pas faire ? Que devons-nous faire ? »