• aside

GDPR et SIRH : simplifier la mise en conformité

SIRH pour être conforme au GDPR
Le Règlement Général pour la Protection des Données Personnelles n’indique pas d’utiliser des outils en particulier afin d’être en conformité. En revanche, disposer d’un SIRH est un atout indéniable pour y parvenir. Disons même que GDPR et SIRH sont plutôt indissociables.

La question n’est pas tellement de savoir si un SIRH est utile pour se mettre en conformité avec le GDPR car la réponse serait assez évidente. Il s’agit plus de savoir comment choisir son SIRH intelligemment, ou comment utiliser le SIRH déjà en place afin d’optimiser la phase de mise en conformité et le respect du GDPR au quotidien (voir le livre blanc dédié sur l’impact du GDPR sur les organisations et les services RH).

Justifier l’utilisation des données et maîtriser les processus

Le GDPR indique que tous les traitements sur des données personnelles doivent pouvoir être justifiés : qui, quoi, pourquoi, où, jusqu’à quand, comment…

Il faut être en mesure de maîtriser l’accès aux données, et c’est justement que qu’un SIRH permet de faire : définir des rôles, afin de garantir le cloisonnement des données personnelles. Un rôle donne un droit d’accès à une quantité de données définies. Identifiez des rôles de manière pertinente par rapport aux droits de lecture ou de modification des données. Tentez de regrouper les rôles au maximum afin que ce référentiel reste maîtrisable et compréhensible. Demandez-vous s’il est utile et nécessaire qu’un manager accède aux adresses personnelles de ses subordonnés par exemple. Plus le SIRH vous permettra d’affiner les droits d’accès aux informations, plus les processus RH paramétrés seront à même de respecter les exigences du GDPR.

Il peut également être une bonne idée de mettre à disposition des collaborateurs les informations personnelles les concernant, lorsque cela est pertinent. En plus de montrer de la transparence aux employés, ces derniers pourront participer à leur mise à jour et en demander des modifications.

Respecter les nouveaux droits des collaborateurs

Le GDPR indique que les collaborateurs doivent donner leur consentement pour que leurs données personnelles puissent être utilisées. Grâce à un SIRH collaboratif, il pourra donner son accord en ligne en accédant directement à la plateforme RH. L’équipe RH pourra également personnaliser le formulaire dédié afin d’apporter des explications complémentaires relatives au GDPR par exemple.

Le GDPR indique également l’existence d’un droit à l’oubli. À partir de mai 2018, une personne pourra demander que l’intégralité des données la concernant soit effacée des systèmes. La difficulté d’exécution repose sur le fait de savoir où se trouvent toutes les données d’un collaborateur. Alors qu’un dossier administratif peut paraître simple à effacer, tous les résultats des évaluations paraissent bien plus compliqués à identifier. Un SIRH global présente alors l’avantage de conserver toutes les données personnelles et professionnelles des collaborateurs au même endroit afin de pouvoir les retrouver facilement et identifier le périmètre d’effacement nécessaire.

La protection des données dès la conception d’un processus

Le GDPR insiste sur le fait que la protection des données personnelles doit être un mot d’ordre dès la conception d’un système. L’accès aux données, la durée de rétention, la minimisation de leur utilisation doivent faire l’objet de l’attention des RH alors qu’un nouveau processus se met en place. Le consultant SIRH et le DPO (lire l’article « Mise en conformité au GDPR du service RH – étapes clés » pour en savoir plus sur le rôle du DPO) aideront l’équipe projet à identifier les points de vigilance. Un SIRH performant est évolutif, et sera en mesure de supporter les évolutions nécessaires au respect des directives.

Il est aussi important de choisir une solution RH qui porte une attention particulière au respect du GDPR. Quelques utilitaires simples pourront aider l’équipe RH et les managers au quotidien, comme le contrôle automatique d’une rédaction respectueuse envers l’employé dans les évaluations annuelles et qui repère les grossièretés.