Depuis le 25 mai 2018, tous les organismes publics et privés se trouvant dans l’Union européenne doivent entamer un processus de mise en conformité vis-à-vis du RGPD. Bien entendu, les services RH sont plus que concernés puisqu’ils traitent des données à caractère personnel.
Pourquoi le service RH doit être conforme aux normes RGPD ?
Les services des ressources humaines collectent et traitent des données personnelles de nombreuses personnes. Ils sont les premiers visés par le Règlement Général sur la Protection des Données. Les données RH sont notamment les noms, prénoms, adresses, numéros de téléphone et d’autres informations sensibles concernant les salariés depuis leur embauche jusqu’à leur départ dans l’entreprise. C’est pourquoi il est absolument nécessaire de suivre et d’appliquer les principes du RGPD. En effet, la finalité de la collecte des données doit être précise et légitime. C’est à chaque organisme d’en assurer la sécurité et de respecter la confidentialité. Un service RH doit également respecter certains droits des personnes au sujet de l’accès, de la modification et de la suppression des données.
En outre, les entreprises concernées ont tout intérêt à réorganiser la gestion des données personnelles pour la mise en conformité RGPD du service RH. Elles sont, en effet, exposées à de lourdes sanctions en cas de non-respect de cette règle. La CNIL ne lésine pas sur les amendes qui peuvent aller jusqu’à 20 millions d’euros, sans parler des sanctions administratives et des sanctions pénales diverses. Toutefois, être conforme n’est pas une tâche facile. C’est tout un travail de longue haleine nécessitant des compétences juridiques que le personnel interne ne dispose pas forcément. Autant se faire accompagner par un expert en RGPD.
Que faut-il faire pour se mettre en conformité avec le RGPD ?
Dans un premier temps, il faut nommer un DPO (Data Protection Officer) ou Délégué à la Protection des Données en français. Les sociétés peuvent aussi recourir aux services d’un professionnel externe. Il s’agit en fait d’une personne chargée de faire respecter le RGPD au sein d’un organisme. Connaissant les dernières nouvelles obligations, il sera très utile pour réduire les risques de sanctions. C’est à lui de mettre en place les actions nécessaires pour être conforme comme l’élaboration d’une cartographie des données personnelles collectées. Par ailleurs, un registre des traitements devra être tenu par le service RH. Il recense toutes les activités liées au traitement des informations. Ce registre indique également le lieu de stockage ou d’hébergement des données.
En outre, une entreprise est dans l’obligation de sécuriser les données personnelles des employés. Dans cette optique, elle doit restreindre l’accès aux informations et mettre en place une procédure à entreprendre en cas de violation des données. Aussi, la formation des salariés aux normes RGPD est vivement recommandée par la CNIL. L’objectif étant de sensibiliser les personnels les plus concernés (services RH, comptable) à se conformer aux règles de confidentialité. Pour finir, la conception d’un plan de conformité sur-mesure est de mise. Puisque chaque entreprise est différente, il est conseillé de contacter un professionnel afin de profiter d’une grande expertise.
