Le Règlement Général sur la Protection des Données (RGPD) est le texte de référence de l’Union européenne sur les données à caractère personnel. Avec l’extension des usages numériques, l’Union européenne a pris la décision d’harmoniser les règles juridiques en matière de protection des données personnelles.
Depuis le 25 mai 2018, ce règlement s’applique à tous les États membres de l’Union européenne. Il s’adresse également aux entreprises étrangères qui traitent les données personnelles de citoyens européens.
Le RGPD définit une donnée personnelle comme une information qui peut permettre d’identifier quelques aspects que ce soit de la vie personnelle, publique ou professionnelle d’une personne. Il s’agit par exemple du nom, de l’adresse, du numéro de téléphone, de l’adresse électronique, de l’adresse IP et des informations culturelles, économiques et biométriques d’une personne…
1. Les services RH sont particulièrement concernés par le RGPD
C’est une évidence. Les équipes RH ont accès à de nombreuses données sensibles relatives à leurs salariés et à leurs candidats.
Depuis l’entrée en vigueur de cette réglementation, les services de Ressources Humaines et de la Paie doivent impérativement adresser cette mise en conformité dans leur mode de fonctionnement, tout comme les services informatiques, financiers et opérationnels.
Dans la pratique, les activités des ressources humaines sont particulièrement concernées.
2. Quels processus sont les plus sensibles ?
Il existe 11 processus différents dans le domaine des ressources humaines où le RGPD doit être impérativement pris en compte. Ceux-là sont listés par la CNIL :
- La gestion des rémunérations et les formalités administratives associées,
- La gestion administrative des personnels,
- Le recrutement,
- La mise à disposition d’outils professionnels,
- La formation,
- Le suivi des carrières et de la mobilité,
- La tenue des registres obligatoires et les rapports avec les instances représentatives du personnel,
- La communication interne,
- L’organisation du travail,
- La gestion des aides sociales,
- La réalisation des audits, la gestion du contentieux et du pré-contentieux.
Cette nouvelle réglementation a entraîné de nouveaux besoins et processus de contrôle tout particulièrement dans la gestion des données de la paie. La CNIL considère que toutes les données personnelles qui permettent d’identifier un salarié relèvent des dispositions du RGPD.
3. L’accès à des informations sensibles protégées par le RGPD est nécessaire à l’édition du bulletin de paie
Pour être en mesure d’éditer un bulletin de paie, vous devez disposer de nombreuses informations :
- Son identité (nom et prénom),
- Sa date de naissance,
- Son adresse postale,
- Son numéro de Sécurité sociale (NIR ou NTT),
- L’intitulé de son poste,
- Et toutes les autres informations personnelles indispensables au processus de la réalisation de la paie…
Le RGPD s’applique également à toutes les informations relatives à la rémunération du salarié :
- Ses primes,
- Ses congés payés,
- Son taux d’imposition relatif au prélèvement à la source,
- Ses absences ou arrêts maladie,
- Ses avantages en nature…
Toutes ces informations sur le salarié doivent être protégées par l’employeur et leur traitement doit être conforme aux exigences du RGPD.
Note : portez votre attention tout particulièrement sur les données concernant le recrutement, la paie, les déplacements et notes de frais et les informations médicales.
4. Le RGPD impose de nouvelles responsabilités aux Ressources Humaines
Même si les services RH ont toujours considéré ces données comme confidentielles, les questions de protection des informations personnelles leur sont très nouvelles. En plus, elles sont désormais directement responsables du respect de ces réglementations.
Pour que les ressources humaines et les gestionnaires de paie soient en situation d’appliquer ces nouvelles réglementations, des investissements en formation, en temps et en outils de contrôle sont indispensables.
En 2020, seuls 14 % des professionnels de la paie avaient reçu une formation spécifique au RGPD dans le domaine de la paie (source Global Payroll Association).
L’employeur est responsable du respect du RGPD lors de l’ensemble du processus de l’élaboration de la paie et de l’édition des bulletins de paie.
5. Les équipes RH sont garantes de la protection des données personnelles des collaborateurs
Pour garantir la conformité au RGPD, les équipes RH doivent s’assurer d’être en mesure de contrôler différents processus. Elles doivent être en mesure de garantir la confidentialité et la protection de toutes les données sensibles évoquées plus haut.
Les équipes RH et gestionnaires de la paie doivent également intégrer de nouveaux concepts comme :
- Le droit à l’oubli des personnes (à savoir, la suppression définitive des données personnelles),
- Et le droit d’accès des salariés aux données personnelles.
Le RGPD renforce les droits des salariés. Chaque collaborateur doit pouvoir demander la consultation, la modification, la transmission ou bien la suppression à tout moment de ses données personnelles.
De même, une fois l’employé parti, certaines informations doivent être conservées par l’employeur sur un support d’archive. Par exemple, après le départ du salarié, le délai de conservation des bulletins de paie est de 5 ans.
6. Pour garantir la bonne application du RGPD, des processus sont indispensables
Afin de veiller au respect du RGPD dans l’élaboration du processus de paie, il est important de mettre en place de nouveaux processus :
- Préciser au salarié la durée de conservation et les différents traitements de ses données personnelles,
- Communiquer au salarié les finalités de chacun des traitements,
- Informer le salarié sur l’identité des personnes habilitées à consulter ou à traiter ses données personnelles.
Note : pour les entreprises d’au moins 250 salariés, vous avez l’obligation légale de tenir un registre des traitements de données personnelles. La CNIL propose même un modèle.
7. Pour veiller au respect du RGPD sur le bulletin de paie de nouveaux outils sont également nécessaires
Le RGPD impacte particulièrement les processus de gestion de la paie.
La bonne application du RGPD implique de disposer d’outils pour :
- Être en mesure d’identifier où sont stockées les informations concernées,
- Pouvoir rassembler rapidement ces informations afin de répondre aux demandes des collaborateurs,
- Assurer la sécurité des données et informations,
- Créer un accès sécurisé pour que les personnes habilitées puissent accéder aux données en toute sécurité,
- Garantir que seules les personnes habilitées soient en mesure d’y avoir accès,
- Enregistrer les accès et les actions sur les données effectuées par les personnes habilitées…
Les services RH doivent désormais connaître la totalité des données personnelles qu’ils détiennent sur chaque collaborateur. Ils doivent optimiser leurs systèmes d’informations afin de mieux gérer ces données et surtout être en mesure de prouver aux salariés que leurs demandes ont bien été traitées.
8. Ces processus de la gestion de la paie doivent néanmoins être traités de façon holistique
Historiquement, toutes les informations personnelles sont stockées sur différents systèmes : logiciels, tableurs, classeurs, archives… En plus, elles sont “manipulées” par de nombreux collaborateurs depuis son CV lors de sa candidature jusqu’à son départ effectif de l’entreprise.
Dans le cadre du RGPD, il est très important de repenser la gestion des données personnelles des salariés de manière holistique. Il devient crucial pour les services de Ressources Humaines de regrouper l’ensemble de ces documents, idéalement dans un seul et même lieu de stockage afin d’assurer la sécurité, mais aussi la disponibilité des informations.
Le RGPD impacte toutes les applications internes traitant des données personnelles des collaborateurs. Les systèmes de collecte et de stockage de ces informations doivent donc tous être entièrement conformes.
9. Les sanctions encourues peuvent être considérables en cas d’infraction
Si vous ne respectez pas le RGPD dans le cadre de l’élaboration de la paie, vous encourez diverses sanctions en tant que responsable de la paie, même si votre délégué à la protection des données (DPO) se trouve en première ligne.
a. Des mesures correctrices
En cas de non-respect du RGPD, vous pouvez être rappelé à l’ordre par la CNIL, notamment par :
- Un simple avertissement,
- Une mise en demeure,
- Une obligation de rectification ou d’effacement.
b. Des sanctions administratives
Si l’erreur n’est pas adressée, l’entreprise risque des amendes administratives.
c. Des sanctions pénales
Pour les violations les plus graves (détournement des données personnelles ou collecte illicite), vous risquez des sanctions pénales : une amende jusqu’à 300.000 €, voire 5 ans de prison.
10. La construction de la confiance est indispensable au succès du processus
Garantir la protection des données personnelles de vos collaborateurs est aussi un excellent moyen de renforcer le lien de confiance nécessaire au bon fonctionnement de votre entreprise.
Pour renforcer cette confiance tout développant les outils obligatoires, assurez-vous des éléments suivants :
- Mise en œuvre d’un traitement de données personnelles transparent,
- Assurez une information individuelle et collective préalablement à la mise en place d’un traitement de données personnelles,
- Informez les personnes concernées des modalités de traitement de leurs données ainsi que de la manière d’exercer leurs droits,
- Informez vos collaborateurs à chaque fois que vous leur demandez des informations,
- Soyez transparent sur l’utilisation des données et des outils. Vous devez l’informer de la finalité de la collecte des informations et de l’exploitation de ces dernières,
- Garantissez l’accès à toutes les données concernant vos collaborateurs : copie d’un bulletin de paie, état d’un compte épargne-temps, mais aussi les enregistrements téléphoniques, relevés des badgeuses, ou encore messages envoyés via le mail professionnel,
- Profitez de la mise en place du RGPD pour sensibiliser et former l’ensemble de vos collaborateurs sur les règles à suivre en matière de protection des données…
Conclusion sur l’impact du RGPD sur les services de la paie
Les entreprises ont tout d’abord concentré leurs efforts de mise en conformité avec cette réglementation sur leurs données externes. Elles se sont concentrées sur leurs processus de collecte et de traitement des données personnelles de leurs clients.
Paradoxalement, ce sont les processus RH qui sont le plus exposés au RGPD.
Pour s’assurer du respect de cette réglementation, une sensibilisation de tous les acteurs de l’entreprise est nécessaire ainsi que la mise en place de nouveaux outils et processus. Il est clé de jamais oublier que les services RH fonctionnent exclusivement à partir de données personnelles.
Une solution en mode SaaS a l’avantage de centraliser les données, leur gestion et confidentialité en sont facilitées.
Sur le même sujet :