RESSOURCES HUMAINES ET RGPD :

Comment transformer la contrainte réglementaire en opportunité pour l’entreprise ?

NOTE DE SYNTHÈSE MARS 2018

DONNÉES PERSONNELLES

LÉGISLATION

DROITS ET LIBERTÉS

RESSOURCES HUMAINES

RGPD

RENCONTRES

W W W . N I B E L I S . C O M

REM

ERCI

EMEN

TS

Cette Note de synthèse repose sur un échange s’étant tenu le 13 mars 2018, entre profession-nels issus du domaine de la Paie et des RH, sur

la nouvelle règlementation européenne du RGPD et ses impacts sur les Services RH. Elle vise à détailler l’émergence de nouveaux enjeux et les actions à mettre en œuvre par les différentes parties prenantes. Au-delà de ces informations, ce docu-ment détaille les étapes concrètes à suivre pour la mise en conformité de l’entreprise au RGPD et les perspectives d’innovation insufflées par les nouveaux dispositifs à adopter.

Cette Note de synthèse a été réalisée à la suite d’une table ronde animée par Marie-Clotilde Lefebvre, Responsable du Service Juridique Nibelis, en présence de plus de 100 professionnels de la Paie et des RH. Nous remercions chaleureusement les intervenants ayant conduit ces échanges, tout en répondant aux interro-gations de la salle lors d’un jeu de questions/réponses :

Caroline Bettini, HR Director

Ghislain Tuaz, Directeur Technique

Franklin Brousse, avocat spécialisé dans les achats innovants, digitaux, informatiques et télécoms

S O M M A I R E1. « LE RGPD S’IMPOSE

À TOUTES LES ENTREPRISES » 05

2. VERS UNE DENSIFICATIONDES DROITS ET DES OBLIGATIONS 07

3. QUAND LE DROIT S’ENTRECHOQUEAVEC LA PRATIQUE 09

4. D’ICI LE 25 MAI, IL EST ENCORE TEMPS DE RÉAGIR ! 11

CONCLUSION 14

L’employeur est amené à collecter, traiter et stocker de grandes quantités de données à caractère personnel. Avec l’entrée en vigueur du RGPD le 25 mai

prochain, nombre d’actions doivent être mises en œuvre au plus vite par les Services RH pour assurer leur conformité aux nouvelles exigences réglementaires. Quels sont les droits de l’employeur et les démarches qu’il doit entreprendre ? Comment mettre en place une gestion fiable, efficace et pleinement sécurisée des données de ses salariés ? Quels impacts pour les salariés et les équipes RH ?

25 MAI 2018

DROITS EMPLOYEUR

DÉMARCHES À ENTREPREND RE

Efficacité

Productivité

Fiabilité

IMPACTSSUR

LES SALARIÉS & ÉQUIPE RH

5 R E P R O D U C T I O N I N T E R D I T EC O P Y R I G H T N I B E L I S 2 0 1 8

« Le RGPD sera transposé à 99 % dans le droit français, contrairement à une directive européenne que les Etats membres peuvent adapter ». Franklin Brousse, avocat spécialisé dans les achats innovants, digitaux, informatiques et télécoms au sein du Cabinet +Avocats

1. « LE RGPD S’IMPOSE À TOUTES LES ENTREPRISES »

Le règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai prochain et garantira l’harmoni-sation des droits au sein de l’Union Européenne. Toutes les entreprises sont concernées. Il s’agira pour elles de se mettre en conformité avec trois exigences :

Techniques

Contractuelles

Organisationnelles

6 RH ET RGPD

Le RGPD n’est pas un règlement d’interdiction mais d’encadrement. Il énonce beaucoup plus d’obliga-tions et de sanctions que la loi française de 1978 sur la protection des données personnelles, et ses directives associées. Le RGPD instaure un régime de responsabilité en cascade, donnant naissance à une chaîne de responsabilité : au-delà du responsable du traitement, la réglementation impose de vérifier la conformité de toutes les parties prenantes, quel que soit leur niveau de sous-traitance.

Toute opération portant sur des données personnelles(salariés, clients et fournisseurs), qu’il s’agisse notamment de collecte, de conservation, de modifica-tion, ou même d’une simple consultation, devra être conforme aux règles énoncées dans le RGPD. Pour exemple, un prestataire de maintenance amené à sauvegarder des données personnelles devra montrer patte blanche. Autant dire que le périmètre couvert par le RGPD est particulièrement large !

Loi n°78-17 du 6 janvier 1978, plus connue sous le nom de loi informatique et libertés.

En complément de la loi, le décret n°91-1051 du 14 octobre 1991 réorganise les fichiers des Renseignement généraux. Il prévoit aussi un examen de la légitimité des informations détenues tous les cinq ans, sous l’égide de la CNIL.

Loi du 6 août 2004 qui transpose en droit français les dispositions de la directive 95/46/CE sur la protection des données personnelles. La loi de 1978 ainsi modifiée est complétée par son décret d’application n°2005-1309 en date du 20 octobre 2005.

25 mai 2018 : entrée en vigueur du RGPD.

DONNÉES PERSONNELLES :30 ANS D’ENCADREMENT RÉGLEMENTAIRE

1978

1991

2018

2004-2005FRAN

CE & EUROPE

FRANCE

FRANCE

EUROPE

7 R E P R O D U C T I O N I N T E R D I T EC O P Y R I G H T N I B E L I S 2 0 1 8

2. VERS UNE DENSIFICATION DES DROITS ET DES OBLIGATIONS CÔTÉ EMPLOYEUR

Les employeurs seront tenus de lister l’ensemble des données personnelles collectées ainsi que les traite-ments, transferts, durée et méthode de stockage associées. Ils devront également définir le dispositif de protection des données. L’employeur peut collecter des informa-tions complémentaires concernant ses salariés, notam-ment des informations utiles à la gestion administrative du personnel, par exemple pour les œuvres sociales. Il devra toutefois veiller à respecter le principe de « limitation », c’est-à-dire s’appliquer à ne collecter que les données per-sonnelles nécessaires. « Demander le numéro de permis de conduire à un salarié qui ne sera pas amené à conduire un vé-hicule de société ne fait pas sens », précise Franklin Brousse. Pour rappel, il n’est pas autorisé de collecter des données « illégitimes » concernant les origines ethniques, les préfé-rences religieuses ou les appartenances syndicales…

Le RGPD signe la fin du système de déclaratifs à la CNIL, dans quelques semaines entrera en vigueur le principe d’auto-évaluation. Les entreprises auront l’obligation de tenir un registre des traitements des données person-nelles. Ce dernier couvre à la fois les données traitées en interne et en externe.

L’employeur doit prendre toutes les mesures « techniques et organisationnelles » pour assurer la confidentialité des données personnelles des candidats / employés et éviter toute divulgation aux tiers non-autorisés. Il est ici ques-tion de chiffrement des données (système de cryptage), de sensibilisation à l’importance des mots de passe, etc. L’employeur doit aussi s’assurer que le droit à l’oubli des salariés puisse être respecté.

Tous les traitements doivent avoir un fondement pour être licites, c’est-à-dire correspondre à l’une des 6 bases légales listées dans le RGPD : Consentement, Contrat*, Obligation légale*, Mission d’intérêt public, Intérêt vital ou Intérêt légitime*. A noter que ce dernier est particuliè-rement complexe à définir.

*Fondements juridiques justifiant le traitement des données salariés

FOCUS RGPD - MODE DE CONSERVATION DES DONNÉES

L’article 30 du RGPD énonce l’obli-gation de tenir un registre interne des traitements de données per-sonnelles, complet et actualisé. Il doit être mis à disposition de la CNIL en cas de contrôle. Cette obligation ne s’applique qu’aux entreprises ou administrations de 250 employés et plus. Attention : certaines organisations dont l’ef-fectif n’atteint pas ce seuil devront aussi se plier à l’exercice, si elles ef-fectuent des traitements sensibles :

De façon régulière.

Qui concernent certaines caté-gories de personnes ou des don-nées relatives à des condamna-tions pénales et à des infractions.AVANT

TENUE D’UN REGISTRE

EN INTERNE

aujourd’hui

8 RH ET RGPD

CÔTÉ SALARIÉS

A l’ère d’un monde toujours plus connecté, la frontière entre vie professionnelle et vie privée apparaît poreuse. Si les avantages de la digitalisation de l’entreprise sont nombreux en termes de flexibilité et d’efficacité, les inquiétudes des collaborateurs quant à une exposition croissante de leurs données per-sonnelles apparaissent légitimes.

1 Droit d’accès et de rectification des données personnelles,

2 Droit à l’oubli (en cas de départ de l’entreprise),

3 Droit à la limitation,

4 Droit de ne pas faire l’objet de décisions individuelles automatisées (profilage),

5 Droit d’introduire un recours et/ou de déposer une plainte devant la CNIL en cas de violation de ses droits,

6 Légitimité des traitements Paie et RH.

Franklin Brousse est catégorique :

« Le RGPD ? Vous n’y échapperez pas. La durée de conservation dépend du fondement du traitement de vos données. »

Franklin Brousse affirme : « La charte informatique doit être révisée. Du fait de la signature d’un contrat de travail, il n’est pas nécessaire de signaler expressément aux salariés que l’employeur va faire un trai-tement de leurs données personnelles, cela tombe sous le sens. » Caroline Bettini, HR Director du Groupe Revue Fiduciaire, tempère : « Le RGPD n’a pas changé la donne : déontologiquement, toute donnée salarié est confidentielle. La seule chose qui va réellement évoluer, c’est la responsabilisation des collaborateurs. »

RETOUR D’EXPÉRIENCE DE REVUE FIDUCIAIRE : PLATEFORME COLLABORATIVE & SENSIBILISATION DU PERSONNEL

Les deux points clés sur lesquels nous nous concentrons sont l’éducation et la sensibilisa-tion des salariés, avec l’appui de nos représentants du personnel. Nous regroupons une

forte population de juristes, aussi le sujet est assez simple à aborder et les explications de notre DPO ont été bien comprises. Des réunions de préparation sur le RGPD sont indispen-sables pour mobiliser les représentants sociaux.

Ainsi, le Groupe Revue Fiduciaire a mis à disposition de ses salariés une plateforme RH collaborative en Cloud pour la gestion de leurs données personnelles : il nous a semblé plus simple de permettre à nos salariés d’accéder à leurs informations pour qu’ils puissent les modifier ou les actualiser par eux-mêmes.

Enfin, nous informons nos nouveaux embauchés que le CE va être amené à traiter leurs don-nées personnelles et nous allons amender notre charte informatique pour y intégrer un paragraphe sur le RGPD. Je vais prêter plus attention à la finalité des traitements de don-nées. », conclut Caroline Bettini, HR Director du Groupe Revue Fiduciaire.

9 R E P R O D U C T I O N I N T E R D I T EC O P Y R I G H T N I B E L I S 2 0 1 8

Les salariés, habitués à un certain confort, ont pour usage de solliciter leurs anciens employeurs afin de récupérer des do-cuments administratifs, le plus souvent des bulletins de paie. Et pourtant, le RGPD ne laisse pas planer de doute quant aux obligations des Services RH. « Il ne faut pas conserver les données ad vitam eternam : vous devez même les effacer 5 ans après le dé-part de vos salariés - soit un délai raisonnable pour se prémunir d’éventuels litiges », confirme Franklin Brousse.

« Que dire à une salariée qui a cumulé des dizaines années d’an-cienneté et qui sollicite son historique de bulletins de paie ? » s’interroge Caroline Bettini, HR Director.

Franklin Brousse soutient : « Ces données ne vous appartiennent plus à partir du moment où vos salariés quittent l’entreprise. Vous devez les leur restituer et il est de votre devoir de les sensibi-liser sur ce sujet. Un coffre-fort électronique est LA solution pour gérer ce type de problématique. Le délai de restitution des don-nées aux salariés partis est fixé à un mois. Charge à l’employeur de solliciter ses sous-traitants pour récupérer ces données. C’est la fameuse chaîne de responsabilité ! »

Ghislain Tuaz, Directeur Technique de Nibelis, complète le propos : « Le coffre-fort électronique impose la conservation des données jusqu’aux 75 ans d’un salarié. L’entreprise est ainsi déchargée de ces problématiques, il ne lui reste plus qu’à s’assu-rer que les données ont bien été supprimées de ses serveurs lorsque le délai de conservation arrive à terme. »

Si vos salariés ne sont pas équipés en matériel informatique, vous êtes tenu de leur remettre un dossier im-primé lors de leur départ. Dans un monde où la dématérialisation est devenue la norme, il devient complexe de gérer ce type de situation. »

3. QUAND LE DROIT S’ENTRECHOQUE

AVEC LA PRATIQUE

10 RH ET RGPD

DONNÉES PERSONNELLES

5 ANSaprès le départ de vos salariés

SUPPRIMER

50 ANS de conservation

et de protection desdocuments* au sein

d’un coffre-fortélectronique

* Délai de stockage obligatoire des bulletins de paie dématérialisés, pouvant courir jusqu’aux 75 ans du salarié.

11 R E P R O D U C T I O N I N T E R D I T EC O P Y R I G H T N I B E L I S 2 0 1 8

UN IMPÉRATIF : DEVENIR « ACCOUNTABLE » !L’« accountability » est le principe fondamental du RGPD. Les entreprises sont responsabilisées et doivent être en mesure de démontrer qu’elles respectent bien les principes relatifs aux traitements des données personnelles. Ainsi, des documentations doivent pouvoir être mises à disposition en cas de contrôle, prouvant que des processus ont bien été pensés pour la mise en conformité avec les exi-gences contractuelles et organisationnelles, le contrôle des sous-traitants…

JAMAIS SANS MON DPOLe RGPD consacre un nouvel acteur, présenté comme le chef d’orchestre de la conformité au sein de l’entreprise : le délégué à la protection des données ou DPO (Data Protection Officer). Avant le 25 mai 2018, toute entreprise effectuant des traitements de données à grande échelle, ou de datas sensibles et ce de façon régulière devra être accompagnée par ce spécialiste, interne ou externe, qui sera le garant du respect de la réglementation au sein de l’organisation. « Le DPO doit allier compétences juridiques en matière de données personnelles et indépendance hiérarchique : il ne peut être membre de l’équipe dirigeante ou DRH ! Dans ce contexte, il apparaît opportun d’externaliser cette fonction », affirme Franklin Brousse.

4. D’ICI LE 25 MAI, IL EST ENCORE TEMPS DE RÉAGIR !

RETOUR D’EXPÉRIENCE DE NIBELIS, LA SOLUTION PAIE & RH INNOVANTE EN CLOUD ET SERVICES EXPERTS ASSOCIÉS

Nous travaillons activement sur notre mise en conformité au RGPD, et tous nos clients recevront sous peu des avenants à leur contrat pour formaliser cette dernière. Nos

enjeux sont forts : nous construisons des référentiels permettant une parfaite traçabilité des traitements des données personnelles de nos clients.

Nous devons être en capacité de mener des audits pour prouver la suppression des données.

Face à ces bonnes pratiques, une entreprise peut viser l’obtention d’une certification de ses processus internes par la CNIL. Ainsi, la norme ISO/CEI 27018 concerne la protection des don-nées à caractère personnel dans l’informatique en nuages, correspondant aux exigences du RGPD », détaille Ghislain Tuaz, Directeur Technique de Nibelis.

DPO

12 RH ET RGPD

                 DES CONTRÔLES ?

La CNIL va mener des audits dès le 25 mai 2018 pour montrer l’exemple, probablement auprès de grandes organisations. Les vérifications porteront sur 4 piliers. »

1.Est-ce qu’un DPO a bien été nommé ?

2. Est-ce qu’un effort a été produit pour mettre en place une cartographie des données personnelles ?

3. Existe-il un listing des sous-traitants et la régularisation des contrats en cours a-t-elle été amorcée (signature d’avenants contenant des clauses dites obligatoires sur la protection des données) ?

4. Avez-vous sensibilisé vos salariés ?

Le RGPD impose une auto-évaluation perma-nente. Au-delà des garanties de la protection de la vie privée de ses salariés (nouvelles applications développées en conformité avec le principe du « pri-vacy by design »), les Services RH devront être en capacité de notifier la CNIL en cas de violation des données personnelles sous 72h et prévenir les personnes concernées.

72H

Quid

Si ces 4 points sont vérifiés, aucune sanction ne sera notifiée, la CNIL peut toutefois émettre un avertissement. » explique Franklin Brousse.

13 R E P R O D U C T I O N I N T E R D I T EC O P Y R I G H T N I B E L I S 2 0 1 8

CON

CLU

SIO

N

VERS LA CONFORMITÉ AU RGPD : LA CHECKLIST

INCONTOURNABLE Désigner un DPO (pouvant être externe à l’entreprise).

Identifier et cartographier les traitements internes et externes, ainsi que tous les sous-traitants concernés.

Minimiser les données, régulariser les contrats et respecter les durées de conservation.

Prendre les mesures de sécurité et/ou les faire appliquer. Mettre en place des procédures pour gérer les réclamations, les cas de violation…

Informer les personnes qui font l’objet d’une collecte des données et sensibili-ser tous vos salariés.

CON

CLU

SIO

NDE LA SANCTION FINANCIÈRE…Si une entreprise n’est pas en conformité avec le RGPD à partir du 25 mai 2018, elle prend le risque de se voir infliger de lourdes sanctions admi-nistratives. En cas de manquement aux obligations du Responsable du traitement, l’amende pourra atteindre 10 M€ ou 2 % du chiffre d’affaires annuel*. La sévérité de la sanction sera encore plus forte en cas de man-quement aux principes de base d’un traitement de données, aux droits des personnes, au transfert de données ou de non-respect des injonc-tions de la CNIL. Les amendes pourront alors atteindre jusqu’à 20 M€ ou 4 % du chiffre d’affaires annuel*.

… AU LEVIER D’INNOVATION ET DE PERFORMANCESi la mise en œuvre du RGPD peut être perçue comme une lourde contrainte par les entreprises et en particulier les Services RH, elle consti-tue en réalité une véritable opportunité de repenser le rapport aux don-nées. En imposant aux entreprises de protéger les données personnelles traitées, le RGPD permet de graver dans le marbre la précieuse relation de confiance établie entre une organisation et ses salariés, qui estiment souvent mal connaître leurs droits et les dispositifs RH mis en œuvre pour garantir leur application. N’est-ce pas là une formidable occasion de sim-plifier le parcours du collaborateur au sein des entreprises, en l’infor-mant mieux dès son embauche et en le sensibilisant tout au long de son contrat de travail ?

Le RGPD peut surtout insuffler un vent de modernité, conduisant à sauter le pas ou poursuivre la digitalisation des pratiques RH. Les Services Res-sources Humaines se doivent de communiquer auprès des collaborateurs pour les informer sur ce qu’est la donnée et la nature de leurs droits affé-rents : différents types de datas, délai de conservation des informations, gestion décentralisée des processus RH, etc. Des Solutions Paie et RH en Cloud peuvent constituer une réponse flexible à des besoins spécifiques. Comprise et reconnue, la valeur de la donnée pourra alors trouver une juste exploitation au sein de l’organisation. Le RGPD devient ainsi un levier majeur d’innovation et de performance pour l’ensemble de l’entreprise.

Notre conseil ? Anticipez et entourez-vous d’experts qui accompagne-ront votre mise en conformité d’ici le 25 mai 2018, en adoptant une culture « data adaptable » à long terme. « Le RGPD n’efface pas tout ce que la CNIL a mis en place depuis 20 ans », précise Franklin Brousse. Il apparaît donc que le chemin à parcourir n’est pas si complexe qu’imaginé. Il suffit simplement de vous lancer.

* CA mondial total de l’exercice précédent d’une entreprise

NIBELIS : LA SOLUTION PAIE & RH CLOUD ADOSSÉE À UN SERVICE RÉVOLUTIONNAIRE

PLUS D’INFORMATIONS :https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire

Un outil pour sensibiliser vos salariés rapidement et efficacement avec un jeu de questions-réponses :demo.rgpdready.org

La Solution Paie & RH en Cloud de référence :www.nibelis.com

AbsencesPrésenceActivité

Rapports LégauxSimulation BudgétaireDécisionnel

Gestion ManagerDonnées Personnelles

Notes de Frais

FormationCompétences & ÉvaluationsRecrutement

ADMINISTRATION DU PERSONNEL

PAIE / DÉCLARATIFS

PAIE

TALE

NTSPL

ANNING RH

PILO

TAGE

PORT

AIL RH

COFFRE-FORTÉLECTRONIQUE

W W W . N I B E L I S . C O M

Suivez-nous sur :

contact@nibelis.com@

SIÈGE SOCIAL116, rue Jules Guesde - 92 300 Levallois-Perret

Tel. 01 46 17 07 77

AGENCE NORD 6, rue Jean Roisin 59 000 LilleTel. 03 28 38 41 41

AGENCE RHÔNE-ALPES 40, avenue Pompidou 69 003 LyonTel. 04 72 68 69 40

AGENCE SUD-EST 22, rue Guillibert de la Lauzière Parc du Golf - Bât 22 13 290 Aix-en-ProvenceTel. 04 42 66 79 79

AGENCE OUEST 2, place Delorme 44 000 NantesTel. 02 53 44 94 80

AGENCE SUD-OUEST298, Allée du Lac 31 670 LabègeTel. 05 34 40 11 84

LIENS UTILES