Le 11 avril dernier, Mark Zuckerberg était auditionné par le Congrès américain dans le cadre du scandale Cambridge Analytica. Un terme a souvent été employé par les sénateurs, celui de RGPD, pour Règlement Général sur la Protection des Données. Pourquoi ? Pour une raison simple, l’objectif principal de ce règlement est de mettre la protection des données personnelles au cœur de l’entreprise, d’en faire un impératif de bien commun, une figure imposée. L’ensemble des fonctions de l’entreprise est touché, dont les Ressources Humaines.
Poumons de l’entreprise, la Direction des Ressources Humaines inspire le capital humain pour l’analyser, l’organiser et le faire vivre. Avec la transformation numérique, l’ensemble des processus de l’entreprise génèrent des données. Les actions générées par les collaborateurs ne dérogent pas à la règle. Gérer les Ressources Humaines, c’est aussi gérer leurs données personnelles.
Quels sont les enjeux du RGPD pour les RH ? Comment y répondre ?
Le RGPD, les entreprises vont devoir penser “données”
En quelques mots, revenons sur ce règlement, à l’affiche médiatique depuis plusieurs mois, qui touche une grande partie des entreprises (cf. Décrypter le RGPD en 11 idées reçues). Il répond à un triple objectif :
- Renforcer la protection des données personnelles des individus
- Harmoniser la législation au niveau européen
- Remettre au centre des débats la sécurité informatique des entreprises
Avec cette nouvelle réglementation, toutes les entreprises qui collectent, traitent ou contrôlent des données utilisateurs doivent opérer une sorte de recalibrage cognitif, celui de penser « data ».
Autrement dit, de mettre la gouvernance des données au centre des processus organisationnels en suivant précisément les étapes de mise en conformité (cf. le site Prodware dédié au RGPD).
Dernier point, et non des moindres, une grande nouveauté du texte est la création du Data Protection Officer ou DPO, le pilote du RGPD dans l’entreprise. Un allié des Ressources Humaines, assurément.
Les DRH ne dérogent pas à la règle
Du traitement des candidatures, à la gestion du parcours de carrière des collaborateurs, en passant par la gestion des départs, les services de Ressources Humaines manient en permanence des données personnelles. Fiches de paie, entretiens d’évaluation, formations, etc., tous les documents qui en découlent doivent être passés au crible du RGPD.
Un des rôles du DRH, en lien sans doute avec le DPO, consiste à faire de la pédagogie auprès des collaborateurs et des dirigeants. En effet, pourquoi ne pas parler aux collaborateurs, souvent méfiants vis-à-vis des données collectées à leur endroit par l’entreprise, des avancées de ce texte en termes de protection des données personnelles ?
C’est un gage de confiance pour eux, d’une part, et, d’autre part, cela leur permet d’avoir plus de visibilité sur la transformation numérique de l’entreprise et de lutter ainsi contre la résistance au changement.
Les bonnes pratiques à mettre en place
Si on regarde de près les différentes préconisations de la CNIL, “Se préparer en 6 étapes”, voici quelques recommandations à destination des Ressources Humaines.
1. Veiller à la conformité de vos prestataires de solutions ERP et autres
Que cela soit pour votre solution de gestion de la paie délivrées par SAGE, votre site internet dédié aux candidatures, ou l’application de votre éventuel cabinet de recrutement partenaire, il est nécessaire de veiller à leur parfaite conformité avant le 25 mai 2018, pour ne pas avoir de mauvaises surprises.
2. Ne pas négliger vos archives papier
Oui, le RGPD couvre également les archives papier. Il est alors d’autant plus important, n’ayons pas peur des mots, de faire le ménage de fond en comble dans vos archives : évaluations de vos collaborateurs, entretiens d’objectifs, dossiers de formations de vos salariés, feuilles de temps etc.
Vous le savez sans doute, certaines solutions hébergées dans le cloud permettent de couvrir “numériquement” l’ensemble des missions RH. C’est peut-être le moment de changer ?
3. Faire de la pédagogie, encore et encore
La transparence est une notion essentielle du RGPD, ne pas se l’appliquer à soi-même serait fortement dommageable. Oui, il est nécessaire d’informer clairement vos collaborateurs : quelles sont les données personnelles utilisées, pourquoi et pendant combien de temps seront-elles conservées ?
C’est aussi un moyen de prendre de la hauteur sur les pratiques du service RH. Comment circulent les documents ? Combien de temps sont-ils conservés ?
4. Renforcer l’accès aux données à vos collaborateurs
Le RGDP va renforcer, à partir du 25 mai 2018, le délai de réponse dont dispose l’entreprise pour répondre, par exemple, à une demande de droit à l’oubli.
C’est ici que la transformation numérique des fonctions RH prend tout son sens. En effet, mettre à disposition, en ligne, les fiches de paie, les dossiers d’évaluation de carrière ou les demandes de congés, permet de répondre rapidement à ce besoin. Néanmoins, cela sous-entend, de laisser plus d’autonomie et de responsabilités aux services RH et aux collaborateurs.
5. Renforcer ses relations avec la DSI et/ou le DPO
C’est sans doute le point le plus important, la Direction des Ressources Humaines doit se rapprocher des référents de l’infrastructure SI de l’entreprise ainsi que du DPO pour s’assurer d’être cohérent, autant dans la discours auprès des collaborateurs que dans les actions à mettre en place.
Au-delà de la fonction RH, le RGPD touche l’entreprise dans sa globalité. La pédagogie et le rapprochement avec le DSI / DPO sont les deux points essentiels qui permettront de faire avancer le sujet en interne.