Article Post on 13 February 2019

Le département des ressources humaines face au RGPD

_Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)1 (ci-après « RGPD ») est directement applicable depuis le 25 mai 2018 dans les Etats Membres.

Celui-ci a un impact concret sur la vie des entreprises et de leurs employés. Parmi les départements de l’entreprise concernés par le RGPD, il en est un qui l’est tout particulier, et de manière quasi-quotidienne : le département des ressources humaines.

En effet, durant toute la vie professionnelle de l’employé, le département des ressources humaines doit prendre en compte les dispositions prévues par le RGPD, du recrutement à la fin de la relation contractuelle de travail.

Identification et gestion des traitements de données à caractère personnel

Les responsables des ressources humaines doivent procéder, en premier lieu, à l’identification des traitements de données à caractère personnel ayant lieu au sein de l’entreprise et à la détermination du rôle de l’employeur dans ceux-ci.

Pour ce faire, ils doivent, notamment, se poser les questions suivantes : les données à caractère personnel collectées sont-elles nécessaires ? Dans quels buts ? Pour quelle fin ? Pour quelle durée ? L’employeur est-il responsable du traitement en déterminant les finaliés et moyens de celui-ci ?

Les principes posés par le RGPD comme le principe de loyauté et de minimisation des données, entre autres, devront être gardés en tête.

Chaque traitement devra trouver sa base légale dans une des six bases légales prévues par l’Article 6 du RGPD, à savoir :

  • le consentement de l’employé (cette base légale n’étant pas la plus adaptée à la relation contractuelle de travail entre un employé et un employeur, la question du consentement librement donné pouvant toujours être discutée) ;
  • la nécessité en vue de l’exécution du contrat auquel l’employé est parti ou l’exécution des mesures précontractuelles prises à la demande de celui-ci (cette base légale servira souvent pour le recrutement par exemple);
  • la nécessité en vue du respect d’une obligation légale à laquelle l’employeur est soumis (cette obligation légale peut être en matière d’examen préalable à l’embauche, d’affiliation au CCSS, en matière de comptabilité/fiscalité, prescription, antiblanchiment par exemple);
  • la nécessité en vue de la sauvegarde des intérêts vitaux de l’employé ou d’une autre personne physique ;
  • la nécessité en vue de l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi l’employeur (cette base légale sera plus rarement utiisée);
  • la nécessite aux fins des intérêts légitimes poursuivis par l’employeur (après un test de proportionnalité entre les intérêts de l’employeur / les intérêts, libertés et droits fondamentaux de l’employé).

Une fois les traitements identifiés, ceux-ci doivent éventuellement être consignés, et mis à jour, dans un registre des activités de traitements2.

Parmi les plus traitements les plus fréquents auxquels sont confrontés les responsables des ressources humaines, on retiendra par exemple :

  • les différents traitements liés au recrutement et à l’embauche de l’employé :
  • les différents traitements liés à la gestion adminstrative des employés, relatifs aux aspects tels que le plan de carrière, le plan de formation, la gestion des congés,…
  • le traitement lié à l’administration des salaires.

Mise en place de procédures internes, information des employés et gestion de leurs droits et vérification des contrats conclus avec les sous-traitants

Les documents liés à la relation contractuelle de travail doivent être traités par les responsables des ressources humaines différemment en fonction du traitement auquel ils se rapportent et du but de leur collecte.

Pour chaque traitement, les responsables des ressources humaines doivent penser à mettre en place des procédures internes régissant la collecte, le traitement, la conservation et la suppression des données à caractère personnel recueillies.

Ils doivent faire le lien avec les équipes informatiques pour mettre en place des procédures techniques relatives l’accès aux données, la ségrégation de celles-ci…

Les responsables des ressources humaines ont également la charge de procéder à l’information préalables des employés sur les collectes de données à caractère personnel effectuées ainsi que sur leur gestion. Le RGPD a en effet renforcé le droit à l’information des personnes concernées par une collecte de données à caractère personnel.

En parallèle, les responsables des ressources humaines doivent penser à organiser des formations à destination des employés pour les sensibiliser aux dispositions du RGPD et leur mise en œuvre concrète dans leurs fonctions et leur quotidien.

 Le département RH est encore confronté à l’exercice, par les employés, des différents droits prévus par le RGPD (comme le droit d’accès, le droit de rectification ou encore le droit à l’effacement) et doit étudier les questions et requêtes des employés, et y répondre endéans différents délais (le plus fréquemment un délai d’un mois à partir de la demande).

En outre, les responsables des ressources humaines peuvent être amenés à reprendre les contrats conclus avec leurs sous-traitants et vérifier qu’ils sont adaptés aux exigences du RGPD, sinon les amender, voire y mettre un terme.

_Cet article a été précédemment publié dans Entreprises magazine – Numéro 93 – janvier/février 2019

 

1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO L 119, 4.5.2016, p. 1–88

2. notamment pour les entreprises de plus de 250 employés ou celles de moins de 250 employés mais effectuant un traitement de données sensibles, un traitement systématique et régulier de données à caractère personnel ou encore un traitement engendrant des risques pour les droits et libertés des employés

Share this content