Fonctions RH et principe de proportionnalité RGPD
Selon une étude récente de l’AFPA (Agence nationale pour la Formation Professionnelle des Adultes), les métiers des Ressources Humaines arrivent en tête des métiers qui auraient besoin d’être formés au RGPD. Autre fait inéluctable qui fait l’objet de cet article: La CNIL sanctionne la collecte disproportionnée de données de plusieurs employeurs.
Constat étonnant ? Pas vraiment. Néanmoins, nous admettons que lorsqu’on parle RGPD, on pense dans un premier temps aux actions menées avec les données personnelles prospects (call téléphonique, emailing, …) alors qu’en réalité, le RGPD s’applique aussi bien en externe qu’en interne.
Les Ressources Humaines et le RGPD : Comment ? Pourquoi ?
- Les métiers des Ressources Humaines sont directement concernés par le RGPD. De l’embauche à la sortie des effectifs ; ils sont amenés à collecter, traiter et conserver les données personnelles des candidats et des salariés entrants et sortants.
- Ceux-ci sont également au cœur de la transformation numérique : toujours à la recherche de solutions innovantes qui permettront d’optimiser la gestion des Ressources Humaines.
- Une des questions les plus fréquentes est de savoir quelles sont les données qui peuvent être collectées et comment. Concrètement : quels sont les droits de l’employeur en matière de traitement de données personnelles ? Depuis plusieurs années, la CNIL tente de répondre à ces questions, et notamment aux questions concernant les dispositifs de cybersurveillance.
Plusieurs mises en demeure faisant suite à des contrôles de la CNIL menés en 2019 viennent remettre en lumière une question centrale du RGPD et de ces dispositifs : le principe de proportionnalité.
Le principe de proportionnalité, une préoccupation RH
Pour l’expliquer simplement, en matière de traitements RH, s’interroger sur la proportionnalité d’un dispositif de collecte, c’est s’interroger sur le respect de la vie privée d’un salarié au travail et sur le respect de ces « libertés individuelles ».
Rappel, qu’est-ce que le principe de proportionnalité ?
Rappelons que ce raisonnement de la CNIL est constant : pour s’assurer de la proportionnalité d’un dispositif de collecte, il faut en premier lieu vérifier quel est l’objectif de la collecte des informations, et en fonction, déterminer quelles seront les données strictement nécessaires.
Plus simplement, avant d’utiliser un dispositif qui semble « pratique », menez la réflexion suivante :
De quelles données avez-vous besoin pour atteindre l’objectif que vous vous êtes fixé ? Et,
Avez-vous bien fait le tri entre les données strictement nécessaires et les données facultatives ?
Bien entendu, le respect de l’ensemble des principes fondamentaux du RGPD sera à prévoir ! Transparence, sécurité et durées de conservation des données seront également des éléments à étudier.
Dans tous les cas il faudra répondre de manière très objective à ces questions. Et pour éviter tout impair, n’hésitez pas à vous mettre à la place des personnes concernées pour vérifier que la collecte envisagée est proportionnée, et, respectueuse de la vie privée de ces personnes.
Exemple concret de collecte considérée comme disproportionnée ?
Dans ces affaires récentes, la CNIL estime que l’utilisation d’un outil de gestion des horaires utilisant la photographie des salariés plusieurs fois par jour, est disproportionnée voire même inadaptée à l’objectif poursuivi. En effet, un simple système de badgeage horaire est largement suffisant pour contrôler les horaires de travail. La photographie de la personne n’est pas nécessaire.
Après tout, si vous vous retrouvez avec une caméra de vidéosurveillance dans les toilettes, ça ne vous plairait pas non plus, n’est-ce pas ?
La formation RGPD adaptée à votre besoin
RGPD Academy dispose d’une formation dédiée aux métiers des Ressources Humaines.
N’hésitez pas à consulter le programme. Il comprend une Sensibilisation au RGPD + Sensibilisation à la Cybersécurité. Le tout adapté aux métiers des RH.
Voir le programme de formation « La fonction RH et le RGPD »
Sources :
- La synthèse de l’enquête de l’AFPA sur le métier de Délégué à la protection des données
- Le point CNIL sur les badgeuses photos
- L’article L1121-1 du Code du travail
Et pour aller plus loin :
- Le référentiel de gestion des ressources humaines de la CNIL
- Les fiches pratiques RH de la CNIL (actuellement en cours de mise à jour !)