De nombreux processus de ressources humaines collectent et manipulent des données personnelles des collaborateurs et seront donc directement impactés par le GDPR (voir le livre blanc dédié sur l’impact du GDPR sur les organisations et les services RH). Les étapes clefs ci-dessous vous permettront d’appréhender au mieux la mise en conformité de votre service RH.
1. Dialoguer avec votre Data Protection Officer
Pour piloter la mise en conformité au GDPR, votre entreprise a probablement mis en poste un Data Protection Officer, DPO. Le DPO intervient dans tous les domaines de l’entreprise, dont les RH. Il est important que vous dialoguiez avec lui sur vos outils, vos processus, les données que vous conservez. En qualité d’expert de la protection des données, il est là pour vous informer et vous conseiller sur le contenu du règlement et sur les actions à mener. Il sera le lien entre vous et l’autorité de contrôle. Cette collaboration sera pérenne dans le temps car il vous tiendra aussi informé du contenu des nouvelles obligations.
LE DPO
Une des principales mesures du GDPR est la nomination d’un DPO. Cette nomination est détaillée dans les articles 37 à 39 du règlement.
Le Data Protection Officer est le véritable chef d’orchestre du GDPR. Son rôle est de conseiller, informer et accompagner les responsables de traitement, les sous-traitants et les employés.
Le DPO est le garant de coordination des différents acteurs (internes ou externes) impliqués dans la démarche de mise en conformité du GDPR et de son respect dans le temps.
Concrètement le DPO doit :
- Participer aux différentes étapes de la mise en conformité
- Réaliser et tenir à jour l’inventaire des traitements
- Définir les actions de sensibilisation à la sécurité des données
- Assister/conseiller les décideurs
- Se tenir informer des nouvelles obligations
- Être le point de contact des autorités de contrôle
A noter que le DPO n’est pas responsable de la conformité au GDPR, cette responsabilité reste imputée au responsable du traitement.
2. Cartographier vos traitements de données personnelles
Personne ne connait mieux que vous les traitements des données personnelles de vos collaborateurs. Vous devrez donc participer activement à la cartographie de ces traitements.
L’objectif est de recenser :
- Les différents processus qui incluent des données personnelles
- La finalité de ces traitements
- Les acteurs (internes ou externes) qui participent à ces traitements
- Les flux de traitements (en cas de transfert de données en dehors de l’UE)
Pour chaque traitement, demandez-vous :
- Qui ? (Qui est le responsable de traitement, qui sont les sous-traitants)
- Quoi ? (Quel catégorie de données)
- Pourquoi ? (Finalité de traitement)
- Où ? (Hébergement / pays)
- Jusqu’à quand ? (Temps de conservation des données)
- Comment ? (Sécurité mise en place)
3. Vérifier la capacité de réponse aux réclamations et traitements
Les ressources humaines devront traiter (dans le délai légal) les demandes et réclamations des collaborateurs liées à l’exercice de leurs droits (droit à l’oubli, retrait de consentement, droit de rectification, etc.). Vous devez donc vous assurer que les processus RH permettant d’y répondre sont identifiés et maitrisés par les différents acteurs.
Le délai légal
Art 12.3. Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.
Art 12.4. Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.
4. Prioriser les actions de mise en conformité GDPR
Après les étapes de cartographie et d’analyse de la situation existante, en collaboration avec votre DPO, vous devrez identifier les actions à mener en priorité afin d’être conforme avec la directive. La priorité des actions doit être définie selon les risques et impacts des traitements sur la liberté et les droits de vos collaborateurs. L’utilisation d’une matrice des risques vous permettra de mettre en évidence les lots à traiter.
Exemple de matrice :
Une fois que votre service RH et les processus RH seront en conformité avec le GDPR, il vous faudra veiller à ce que le tout soit maintenu au quotidien (lire l’article dédié « le GDPR au quotidien dans les services et processus RH »).