RGPD et données RH: quelles solutions pour se mettre en conformité?

Non, le RGPD ne concerne pas exclusivement les données personnelles de vos clients! Tout traitement de données personnelles, y compris à des fins de gestion des ressources humaines en entreprise, doit désormais se conformer au Règlement général sur la protection des données personnelles, qui entre pleinement en application le 25 mai prochain.

Une récente conférence organisée par Nibelis, éditeur de logiciel RH, a permis de faire le point sur les questions que soulève le RGPD pour les services RH, et sur les solutions que ces derniers peuvent mettre en place. En effet, les salariés, habitués à un certain confort, ont pour usage de solliciter leurs anciens employeurs afin de récupérer des documents administratifs, le plus souvent des bulletins de paie. Et pourtant, le RGPD ne laisse pas planer de doute quant aux obligations des services RH: "Il ne faut pas conserver les données ad vitam eternam: vous devez même les effacer 5 ans après le départ de vos salariés - soit un délai raisonnable pour se prémunir d'éventuels litiges", confirme Franklin Brousse, avocat spécialisé dans les achats innovants.

Mais "que dire à une employée qui a cumulé des dizaines années d'ancienneté et qui sollicite son historique de bulletins de paie?", s'interroge Caroline Bettini, HR Director du groupe Revue Fiduciare. La réponse de Franklin Brousse est sans équivoque: "Ces données ne vous appartiennent plus à partir du moment où vos salariés quittent l'entreprise. Vous devez les leur restituer et il est de votre devoir de les sensibiliser sur ce sujet. Un coffre-fort électronique est LA solution pour gérer ce type de problématique. Le délai de restitution des données aux salariés partis est fixé à un mois. Charge à l'employeur de solliciter ses sous-traitants pour récupérer ces données." En effet, avec le principe de coresponsabilité entre responsable du traitement et sous-traitant, le RGPD instaure un régime de responsabilité en cascade, donnant naissance à une chaîne de responsabilité: au-delà du responsable du traitement, la réglementation impose de vérifier la conformité de toutes les parties prenantes, quel que soit leur niveau de sous-traitance.

>> Lire la suite en .

"Il ne faut pas conserver les données ad vitam eternam: vous devez même les effacer 5 ans après le départ de vos salariés. " Franklin Brousse

Ghislain Tuaz, directeur technique de Nibelis, complète le propos en évoquant le cas des bulletins de paie dématérialisés, édités uniquement au format électronique, pour lesquels les règles diffèrent⁽¹⁾: "Le coffre-fort électronique impose la conservation des données jusqu'aux 75 ans d'un salarié. L'entreprise est ainsi déchargée de ces problématiques, il ne lui reste plus qu'à s'assurer que les données ont bien été supprimées de ses serveurs lorsque le délai de conservation arrive à terme." Et de rappeler: "Si vos salariés ne sont pas équipés en matériel informatique, vous êtes tenu de leur remettre un dossier imprimé lors de leur départ. Dans un monde où la dématérialisation est devenue la norme, il devient complexe de gérer ce type de situation."

(1) Un décret n°2016-1762 du 16 décembre 2016 relatif à la dématérialisation des bulletins de paie et à leur accessibilité dans le cadre du compte personnel d'activité précise la durée pendant laquelle l'employeur doit garantir la disponibilité du bulletin de paie dématérialisé: le bulletin de paie doit être accessible soit pendant une durée de 50 ans, soit jusqu'à ce que le salarié ait atteint l'âge de 75 ans.