RGPD et données RH

CNIL, RGPD et l’archivage des données RH

Depuis le 25 mai 2018 les dispositions relatives à la protection des données personnelles sont applicables dans l’ensemble des 28 États membres de l’Union européenne. Le RGPD et l’archivage des données RH doivent donc être pensé dès la mise en place d’un SIRH.

 

 

Votre SIRH doit donc impérativement satisfaire aux obligations liées à la protection des données personnelles.

Les étapes selon la CNIL

1 : Nommer un délégué à la protection des données (chargé de l’information, du conseil auprès des autres membres de l’entreprise et du contrôle interne)
2 : Définir la liste des traitements des données (l’entreprise ou son sous-traitant doivent tenir un registre des traitements sur les données personnelles).
3 : Définir les actions correctives (prioriser les actions à engager en fonction du niveau de risque)
4 : Analyser les risques (analyser les risques sur la sécurité des données).
5 : Définir les procédures internes (soit définir les procédures internes pour garantir la sécurité des données personnelles et les procédures à mettre en œuvre en cas de dysfonctionnement)
6 : Tenir une documentation (consigner les actions, documents et procédures).

Le RGPD et la sécurité des données RH

Les réglementations relatives au RGPD impliquent de fait de protéger au maximum les données à caractère personnel. Donc il conviendra de mettre en œuvre les procédures appropriées. Ces protections devront être mise en œuvre à tous les niveaux (niveau utilisateur, niveau administrateur du serveur, du site d’hébergement…)

Les types d’accès

Les accès aux données personnelles sont de différents types. La salarié a le droit d’accéder à son dossier professionnel en s’adressant au service concerné. Et l’employeur a l’obligation d’informer ses salariés du droit d’accès et de rectification à leurs propres données, d’informer sur les données recueillies, ainsi que l’identité des personnes habilités à consulter leurs données.
Les droits d’accès sont souvent définis par des profils visant à autoriser ou non l’accès à telle ou telle donnée. (Par exemple un chef de service pourra accéder aux données ( ou à certaines données) des personnes du service dont il a la charge.

L’avis de l’expert :
Attention !
On commet souvent l’erreur de croire que seuls les fichiers informatisés sont concernés alors que même les fichiers papier sont soumis à la règlementation.

L’archivage des données

Dans tous les cas de figure les données ne doivent être conservées que le temps nécessaire pour accomplir l’objectif poursuivi. Le responsable du fichier (et/ou le délégué à la protection des données) doit veiller à ne conserver que les données nécessaires à cet objectif.

  1. La base active : C’est la base utilisée pour la production avant ou pendant le temps ou la personne est salariée
  2. L’archivage intermédiaire : Les données peuvent être stockées dans une base d’archive distincte de la base active, avec des accès restreints aux personnes habilités.
  3. L’archivage définitif : il est conseillé de les conserver sur un support physique différent ou in dépendant, non accessible accès habituels de la production.

La consultation des données archivées doit être tracée quel que soit le type d’archive.

Les durées légales maximales d’archivage des données RH

Ces délais varient selon la nature des données et l’objectif

Gestion  du recrutement 2 ans après le dernier contact avec le candidat sous réserve que celui-ci en ai été informé et ai donné son consentement
Gestion du personnel 5 ans (en archivage intermédiaire) à compter du jour de départ du salarié de l’entreprise (bulletins de paye, registre du personnel…)
Gestion des temps 5 ans après le départ du salarié.
Attention pour les heures et congés pris pour l’exercice d’un mandat syndical ou de représentation du personnel les données seront conservées 6 mois maximum après la fin du mandat
Bulletins de salaire 5 ans pour un bulletin papier

Pour un bulletin dématérialisé l’employeur doit sous-traiter cette dématérialisation pendant 50 ans ou jusqu’à la 75eme année du salarié à un prestataire dument habilité sur moncompteactivite.gouv.fr .Le salarié accédera à ses bulletins de salaire sur le site du prestataire retenu pour l’archivage.

Sanctions disciplinaires 3 ans

Les sanctions

Les sanctions applicables en cas de non-respect de ces dispositions sont graduelles. Cela signifie qu’elles dépendent de la  gravité des infractions constatées.

 

Les 4 niveaux sont :

Premièrement: Avertissement ou mise en demeure de l’entreprise accompagné d’un rappel des règles concernant la mise en conformité,
Deuxièmement : Injonction, ordre de cessation immédiate des violations constatées,
Troisièmement : Limitation ou suspension temporaire des traitements ou des flux de données,
Quatrièmement : Sanctions administratives pour les entreprises qui n’ont pas respecté l’injonction

Les premières amendes peuvent atteindre 10 000 000 € ou jusqu’à 4 % du chiffre d’affaires annuel mondial.
En cas d’infraction importante l’amende peut atteindre jusqu’à 20 000 000 €

En France, selon l‘Article 226-16 du Code pénal, les sanctions pénales applicables peuvent atteindre jusqu’à 300 000 € d’amende et entraîner jusqu’à 5 ans d’emprisonnement.

Le logiciel de ServicesRHonline permet de régler les temps et délais d’archivage pour rester en conformité avec le RGPD. Lors de la première connexion un message informe le salarié de l’objectif de la collecte de ses données ainsi que de son droit d’accès et de rectification de celles-ci.

Les articles et conseils de notre dossier spécial : Logiciel RH