![bureau_RH](https://www.archimag.com/sites/archimag.com/files/styles/article/public/web_articles/image/rgpd_rhdpo.jpg?itok=DhGMqky4 ""En matière de RH, les DPO doivent donc s’assurer que certaines données des candidats comme celles des collaborateurs ne puissent être utilisées", José Rogriguez Cornerstone OnDemand. (Freepik)")
Sommaire du dossier :
- RGPD un an après : tout savoir sur le métier de DPO
- Données personnelles : Malakoff Médéric Humanis se montre prévoyant
- RH : "Le RGPD a donné lieu à de grosses surprises"
- DPO en collectivité territoriale : communiquer et se rendre indispendable
- Petit précis du RGPD : texte, formations et outils pour DPO
Les données liées aux recrutements ou aux salariés ont été directement impactées par l'entrée en vigueur du RGPD il y a un an. Si ce règlement vient renforcer les dispositions existantes en matière de protection des données personnelles, il apporte également des obligations nouvelles pour les entreprises, que supervisent les DPO spécialisés dans les ressources humaines.
Si vous êtes salarié d’une entreprise en France, il y a fort à parier que l’ensemble des entretiens annuels d’évaluation que vous avez passés depuis votre embauche aient été gardés par votre employeur. En Allemagne, seul celui de l’année précédente est généralement conservé. Malgré l’arrivée du RGPD l’an dernier, il n’existe pas encore d’harmonisation, entre les pays, de ses interprétations et modes d’application en matière de ressources humaines (RH).
L’heure n’est pourtant pas à l’alarmisme. José Rodriguez est le DPO de Cornerstone OnDemand, un éditeur britannique qui propose un logiciel en mode Saas de gestion de données RH. DPO pour les données de son entreprise, il l’est également pour les données de ses clients, qui comptent près de 40 millions d’utilisateurs dans le monde.
Pour ce DPO, ingénieur en informatique de formation qui s’est spécialisé peu à peu dans les questions de sécurité, les services RH se sont emparés de la protection des données depuis longtemps : « Il s’agit d’un domaine très normé », explique-t-il ; « il y a notamment le code du travail, les conventions collectives et beaucoup de jurisprudences. Cela fait longtemps que le domaine RH avait mis en place les procédures nécessaires pour traiter correctement les données ».
La discrimination est évidemment interdite par le RGPD, dont les principes de base sont la transparence et la loyauté envers les personnes, dans le but de les protéger. « En matière de RH, les DPO doivent donc s’assurer que certaines données des candidats comme celles des collaborateurs ne puissent être utilisées », poursuit José Rogriguez ; « l’âge des personnes, tout comme leur sexe ou leur origine, sont de moins en moins demandés ». Si la discrimination est punie par la loi depuis longtemps, le RGPD introduit donc une double peine : en plus de la violation du code du travail, voire du code pénal (selon les pays), une entreprise peut désormais être condamnée pour violation du RGPD. Et dans ce cas, non seulement les amendes peuvent être très élevées, mais la réputation peut s’en trouver fortement entâchée.
Audit et maintenance
D’après José Rodriguez, le sigle RGPD est présent dans toutes les discussions avec les prospects ou clients de Cornerstone OnDemand. « Ils se posent les bonnes questions mais ne savent pas forcément comment y répondre », poursuit-il ; « car si le RGPD n’a pas provoqué de changement structurel, il introduit tout de même la notion de droit à l’oubli ». En effet, les données d’un candidat ou d’un salarié ne doivent plus être conservées, passé un certain délai. Pourtant, sur le terrain, les départements RH n’avaient pas l’habitude de les nettoyer. « Le RGPD a donc amené les directions RH à réaliser des audits des données dont ils disposaient », explique-t-il, « ce qui a donné lieu à de grosses surprises ». Ce travail titanesque est généralement mené depuis d’immenses fichiers Excel de milliers de lignes. « On parle de plusieurs mois de travail », précise-t-il. Certes, des outils spécifiques apparaissent, mais ce marché étant encore récent, la plupart des DPO attendent que celui-ci gagne en maturité pour s’équiper.
Sur le long terme, l’activité du DPO s’apparente à un travail de maintenance. « D’abord, les modèles de données peuvent évoluer, tout comme la législation », explique José Rodriguez ; « ensuite, il faut mener les procédures courantes concernant le droit des personnes ». Il s’agit par exemple des demandes d’accès aux données ou encore du droit de correction des données.
Pour ce DPO, qui a réalisé une thèse professionnelle sur la conformité de l’intelligence artificielle avec le RGPD, la question de l’automatisation et des algorithmes dans le domaine des RH et leur interaction avec le nouveau règlement va s’avérer de plus en plus complexe : « Ces systèmes automatiques de traitements à grande échelle comportent des avantages, mais aussi plus de risques car ils fonctionnent en répliquant, à tort ou à raison, des données historiques », explique-t-il ; « sommes-nous prêts à accepter cela ? »
