Deux années après le grand plongeon du Règlement Européen sur le Protection des Données, les entreprises ont fait un grand progrès en ce qui concerne les données clients. Mais qu'en est-il de données des salariés ? Ton entreprise est-elle un catamaran ou un pédalo ? En 5 droits et 5 devoirs, Octave nous rappelle les bonnes pratiques mais aussi les sanctions qui en découlent.

C’est cette fois au Cap Sounion, à 150 milles marins d’Izmir, qu’Octave m’a donné rendez-vous pour un rappel à l’ordre de la loi Divine : le RGPD. Cadre malicieusement choisi où il est légende que les marins d’antan y confiaient leurs secrets à Poséidon. Avaient-ils le droit de se rétracter, de consulter leurs louanges passées ou de rectifier leurs vœux ?

Mon cher Octave, entre droits des salariés et devoirs de l’employeur, l’horizon n’est pas toujours discernable. Comment navigues-tu ces deux contre-courants ?

Dans le fond, il n’y a finalement qu’une question à se poser quand il s’agit de collecter une donnée concernant le personnel de son entreprise :

“Est-ce raisonnable et donc justifiable ?

Dans leur immense majorité, les entreprises collectent plus de données que ce dont elles ont réellement besoin, souvent par incitation de leur logiciel SIRH d’ailleurs, et ne les exploitent jamais. As-tu vraiment besoin de demander à une potentielle recrue si elle titulaire du permis B alors qu’elle n’a pas à conduire dans l’exercice de ses fonctions ? Ce qui compte, c’est d’obtenir les données utiles pour la mise en conformité administrative et la poursuite des activités des salariés, dans la limite du respect de leurs droits et libertés.

Les entreprises qui ont vraiment rencontré des problèmes pour se conformer au RGDP géraient un héritage provenant de nombreuses bases de données souvent peu qualifiées et issues des différentes vagues d’évolutions de leurs systèmes d’informations :

  • Excel en 2000
  • SIRH “lourd” en 2005
  • SaaS (solution en ligne) en 2010

Pour une jeune startup, c’est tout de même beaucoup plus simple, il faut juste démarrer avec de bonnes habitudes et non un simple tableur.

Concrètement, quels sont ces fameux droits et devoirs ?

Sache que c’est un sujet bien alambiqué ! Je pourrais t’en parler des heures durant. Je te propose une manière simple de retenir les principes fondamentaux :

5 Droits :

  • Droits quand au type
  • Droit d’accès
  • Droit de rectification
  • Droit d’opposition
  • Droit à l’oubli

5 Devoirs :

  • Devoir d'éviction
  • Devoir d’information
  • Devoir de consentement
  • Devoir de traçabilité
  • Devoir de sécurité

Bien entendu, il n’est pas toujours évident de tout respecter, la ligne peut rester floue. D’où l'importance de maintenir un contrôle des risques et d’avoir conscience des interdits qui en découlent.

Droit n°1 : LES DONNÉES UTILES TU RESPECTERAS

Ici, il est plus simple de commencer par le premier filtre, les interdits absolus :

  • les origines ethniques
  • l’orientation sexuelle
  • les opinions politiques
  • la religion
  • les liens familiaux
  • l’adhésion syndicale

Ensuite, il faut se confronter au second filtre, à savoir les 3 phases de la vie d’un salarié :

  • recrutement
  • procédure d’embauche
  • gestion administrative du personnel

Lors de la phase de recrutement, il faut se limiter aux informations civiles du candidat et aux données permettant d’évaluer ses compétences au regard du poste proposé. Il est bien évidemment interdit de demander une Attestation CPAM à ce stade comme l’emploi qu’occupe sa sœur ou l’année de son encartement à la CGT.

Lors de l’embauche, c’est le moment de se mettre en conformité administrative. L’entreprise a bien évidemment le droit (et même le devoir sur ce cas) de collecter toutes les informations nécessaires aux déclarations légales et par la suite au suivi social. Par exemple, demander les coordonnées des personnes à prévenir en cas d’urgence est dès lors autorisé.  

Enfin, il faut faire très attention à ne pas oublier les données qui ne sont pas collectées par les services ressources humaines ou de gestion

Elle doivent pourtant être soumises à la même surveillance :

  • un commercial qui utilise une voiture de la société ? RGPD !
  • un commercial qui utilise une voiture géolocalisée en temps réel ? Super RGPD !!
  • une caméra qui filme les couloirs ? RGPD ! (je rappel au passage que filmer le poste de travail est interdit…)
  • une badgeuse ? RGPD !
  • une badgeuse biométrique ? Méga RGPD !!! Attention, données “sensibles” qui méritent de continuer la lecture à minima jusqu'au Devoir n°2.
  • un autre cas de figure intéressant que tout le monde semble oublier : les données issues des réseaux sociaux ! Scrapper un profil LinkedIn pour un recrutement est tolérable mais des données interdites peuvent s’y glisser. Il suffit de collecter un like ou un commentaire pour se mettre hors-la-loi.

Droit n°2 : ACCÉDER AUX DONNÉES TU LAISSERAS

Un donnée collectée doit être une donnée accessible. Chaque salarié a le droit de consulter ses données depuis son recrutement ainsi qu'après son départ de l’entreprise. Là où se ça se gâte, c’est qu’une demande de consultation doit être exaucée sous 1 mois ! D’où la nécessité d’être bien outillé pour arriver à localiser les données dans les différents systèmes d’informations.

Lorsque je dis “donnée”, j’entends aussi par là “documents” : dossiers de recrutement, bilans d’entretiens annuels et suivis de formations en font chacun partie intégrante.

La notion d’accès n’était pourtant pas neuve : c'était déjà encadré par le Code du Travail. Cependant, l’une des grandes nouveautés du règlement fut de la renforcer en introduisant le droit à la portabilité : les salariés doivent aussi pouvoir repartir avec leurs données. Attention, celui-ci est limité aux seules données fournies par le salarié comme sa fiche de renseignement ou son contrat de travail. Il faut donc prévoir aussi un moyen de les récupérer et de les partager.

Je continue à te retourner la tête ? Sache que l’employeur a aussi le droit de refuser l’accès si et seulement si c’est la deuxième fois que tu lui demandes ! S’il t’a déjà donné une copie de ton contrat de travail précédemment, il est en droit de ne pas réitérer.

Droit n°3 : RECTIFIER TU AUTORISERAS

Rien de neuf à l’horizon du côté de la loi. Le salarié peut modifier des informations erronées ou expirées. Le problème, c’est plutôt d’arriver à faire suivre ces changements. Dans combien d’outils différents l’entreprise doit-elle les changer ? Elles sont généralement sauvegardées dans un SIRH mais aussi dans des feuilles Excel, voire sur des feuilles volantes, etc. Le plus simple serait de laisser l’employé mettre à jour lui-même ses informations qui seraient alors déversées dans les autres systèmes. Ça tombe bien, c’est ce que je propose dans HeyOctave.

Droit n°4 : S’OPPOSER TU... ESSAIERAS ?

Le salarié a le droit de s’opposer à la collecte de ses données personnelles, si ces dernières n’entrent pas en conflit avec les “intérêts légitimes” de l’entreprise, ce qui peut conduire à des casse-têtes. Dans le cas d’une badgeuse biométrique, le salarié a toujours le droit de refuser de donner ses empreintes digitales, mais l’entreprise peut aussi invoquer les aspects de sécurité.

Droit n°5 : OUBLIER TU MÉRITERAS

Ici, il y a la théorie et la pratique… Si tu demandes à effacer des informations te concernant, tu dois motiver ta demande, qui peut bien souvent ne pas aboutir. En effet, l’entreprise a d’une part l’obligation de conserver légalement de nombreux éléments mais elle peut aussi invoquer le fait de les conserver pour sa défense lors d’éventuels litiges. Par contre, l’employeur a l’obligation de répondre à ta demande, à nouveau sous 1 mois. Enfin, il reste toujours une solution intermédiaire : l’anonymisation des données, pour réaliser des études statistiques.

Il n'y a pas de droits sans devoirs, alors continuons...

Devoir n°1 : CONSERVATION TU LIMITERAS

L’entreprise devait déjà conserver ses données bien avant le RGPD, ne serait-ce que sur le plan fiscal. Le règlement précise les délais de conservation et renforce les sanctions induites. Tu peux retrouver un référentiel des durées de conservation en bas de l'article (1).

On y apprend par exemple :

  • qu'au niveau d’un candidat non retenu, seul le CV peut être conservé et maximum 2 ans après la dernière interaction.
  • que les données d’un salarié ayant quitté l’entreprise sont globalement limitées à 5 ans mais lorsqu’il s’agit d'un bulletin de salaire dématérialisé, la limite est repoussée à 50 ans. Un mandat de représentant du personnel est limité à 6 mois après sa date de fin. Le compteur repasse à 10 ans pour les documents liés à des accidents du travail et il n'existe aucune limite pour la lettre de licenciement.
Un véritable casse-tête difficile à suivre ! D'autant plus que toutes les durées de conservations doivent être communiquées aux salariés. Afin de respecter ces limites, le plus simple serait de mettre la destruction en pilote automatique. Ça tombe bien, je sais faire ça aussi...  

Devoir n°2 : INFORMER TU DEVRAS

L’employeur est donc tenu d’informer les salariés sur l’utilisation de leurs données personnelles. Par contre aucun contexte n’est précisé dans la loi, l'entreprise est libre concernant la méthode : notice d’information, charte informatique, mention sur les différents documents… Attention, la jurisprudence nous apprend que le seul fait d'incorporer un paragraphe au contrat de travail n’est pas suffisant !

Plus vicieux, si de nouvelles données personnelles d'un salarié sont collectées de manière indirecte - remontées par un fournisseur, un client ou un collègue -  l'employeur dispose alors d'un mois pour en informer le principal intéressé.

Encore plus vicieux, dans le cas d’un groupe ou d’une grande entreprise : le partage des données d’une entité à l’autre doit aussi faire l’objet d’une nouvelle information.

Devoir n°3 : LE CONSENTEMENT TU RECUEILLERAS

Le devoir d’informer les salariés exclut le besoin de recueillir leurs consentements signés sauf pour les données “sensibles”, à l’image des données de santé comme les fameuses empreintes digitales de notre chère badgeuse. Ouf, pour le coup, cette fois, on se complique moins la vie !

Devoir n°4 : TRACER TU T’OBLIGERAS

La CNIL mentionne le “Registre des Traitements”. Simplement dit, il s’agit d’un gros fichier Excel où sont répertoriés :

  • la nature de toutes les données collectées
  • leur but
  • leur durée de conservation

Pour ne pas trop alourdir la charge de travail des entreprises de moins de 250 salariés, il n’est pas obligatoire de tout lister : seulement les données à risques et inhabituelles.

Dans le cas d’un contrôle ce sera le premier document demandé, d’où l’importance de le maintenir à jour régulièrement. Une nouvelle procédure dans l’entreprise ? Elle a probablement un impact sur le registre ! C’est un réflexe à adopter, d'autant plus que cette nouvelle procédure doit normalement être soumise au comité d’entreprise avant d'être mise en oeuvre.

A nouveau,  je viens sauver la mise. Moi, Poulpe Gardien des données et des documents, je garantis leur traçabilité totale et automatique : avec qui elles sont partagées et pour quelles usages !

Devoir n°5 : DANS LA SÉCURITÉ TU INVESTIRAS

L’employeur doit s’assurer que les données collectées sont sécurisées et tous les moyens sont bons pour le justifier : des mots de passe sur les postes de travail au chiffrement le plus complexe des bases de données.

Désormais, les sous-traitants ont eux aussi leur part de responsabilité et l’employeur se doit d’exiger de ses sous-traitants des garanties liées à la sécurité de leurs données.

Avec moi, c’est simple : tout est chiffré ! Données, documents, partages, conversations, … L’intégralité de mes services est déployée avec les plus hauts standards de sécurité et en plus, toutes les données sont hébergées en France. Parce que c’est aussi un risque lorsqu’on utilise des outils SaaS : les données peuvent très bien se retrouver en dehors des frontières de l’Union Européenne sans s’en apercevoir et le RGPD n'est plus respecté de fait. D’où le devoir de vigilance accrue : ne l'oublie pas, l'entreprise est responsable juridiquement !

Cela fait beaucoup, beaucoup de choses à méditer. Et encore, j’ai l’impression que tu ne m’as pas tout dit !

En effet, il manque encore plein d'éléments que je n’ai pas mentionnés pour une mise en conformité au poil. Je pense d’ailleurs en premier lieu aux différents rôles qu’induisent le RGPD, notamment celui du Délégué à la Protection des Données (DPO). Sache que les conseils précédents ne constituent en aucun cas des conseils juridiques ! Pour ceux qui le souhaitent, je leur conseille de se rapprocher d’experts dont c’est le métier. En outre, notre conversation se réduit à une vulgarisation des concepts pour aider à mieux les conceptualiser et à les retenir.

Quelles sanctions pour le non respect de la loi Divine RGPD ?

Les sanctions débutent selon trois situations :

  • Plainte : des utilisateurs, clients ou du personnel.
  • Contrôle : une charmante visite surprise de la CNIL dans les locaux ou même à distance par des opérations techniques.
  • Violation : des données exposées suite à une attaque informatique. Pour mémoire, si une base de données est pénétrée parce que le mot de passe d’accès était “motdepasse”, cela peut être considéré comme un manquement au devoir de sécurité.
Pour chacune d'entre elles, le résultat peut faire très mal : jusqu’à 4% du chiffre d’affaire MONDIAL ou 20 millions d’euros !  

L’amende est souvent un dernier recours mais d’autres sanctions sont mises en place comme des suivis exigeants ou la pratique du Name and Shame qui consiste à diffuser publiquement le nom des mauvais élèves. Les conséquences sur l’image de l’entreprise sont néfastes !

La loi cherche à responsabiliser l’employeur. Avant qu’elle ne rentre en vigueur en 2018, les grands groupes l’ont perçue comme une nouvelle excuse pour se faire taxer, mais les sanctions sont en réalité progressives. La CNIL a prouvé qu'elle souhaitait plutôt accompagner la mise en conformité que de sanctionner bêtement, du moins jusqu'à aujourd'hui.

Comment HeyOctave facilite la bonne conduite des entreprises face à ces droits et devoirs ?

Le frein, c’est souvent les difficultés d’implémentations et de suivi. C’est là que j’interviens, à la source, de manière totalement automatisée :

  • la finalité de l'exploitation des données est tracée, tu sais dans quel(s) contexte(s) elles ont été utilisées
  • les partages de données sont tous référencés
  • la plateforme chiffrée de bout en bout ! Cela veut dire que, même moi, je n’ai pas accès à tes données.
  • j'exécute les tâches administratives pour centraliser le tout. Je t'invite à consulter par exemple : Bénéfices d’une expérience d’embauche automatisée
En somme, je propose un environnement RGPD-ready ! L’idée finale, c’est que la protection et le respect des données personnelles entrent dans la culture des entreprises. Pour se simplifier la vie, le seul réflexe qui reste à prendre, c’est donc de m’adopter !

Justement comment fait-on pour t’adopter et déployer Hey Octave dans son entreprise ?

👨🏼‍✈️ Il suffit de contacter l’Amirauté : https://fr.linkedin.com/in/sidneyruby

🐙 N'hésite pas à nous suivre pour rester informé des prochaines nouveautés et en découvrir plus sur la vie d’un poulpe : https://www.linkedin.com/company/octaveai/

👉https://hey-octave.com

🚰 Ça coule de sources :

1 : https://doc.hey-octave.com/referentiel-duree-conservations-donnees-rgpd

https://www.cnil.fr/fr/lacces-son-dossier-professionnel

https://www.cnil.fr/fr/le-recrutement-et-la-gestion-du-personnel

https://hbr.org/2019/02/how-companies-can-use-employee-data-responsibly