« Un top 50 des agents les plus malades » à La Poste : dans un communiqué du 2 juin, la fédération Sud PTT annonce avoir saisi la Cnil et l’Ordre des médecins après la découverte d’un fichier nominatif classant une partie du personnel de la plate-forme logistique de Bonneuil-sur-Marne (94) en fonction du nombre de jours d’arrêt de travail, par ordre décroissant, dont ces agents ont bénéficié. « L’inspection du travail a, elle aussi, été alertée pour se prononcer sur le caractère discriminatoire de ce document », ajoute le syndicat, indigné par une telle pratique.

Interrogée par l’AFP, la direction de La Poste évoque, elle, « un dispositif d’accompagnement des collaborateurs éloignés du service pour des raisons de santé ». Un fichier utile « réservé aux managers et aux RH », mais dont un des onglets « est très maladroitement intitulé », reconnaît-elle. Et de déclarer que « les modalités concrètes de la tenue de ce fichier vont être examinées avec la plus grande attention pour s’assurer de leur entière conformité ».

Intention peu louable, démarche mal encadrée ou simple négligence : lorsqu’il est question de données à caractère personnel (lire l’encadré ci-dessous), on joue avec le feu. Particulièrement dans l’Hexagone qui disposait, dès janvier 1978, de sa loi Informatique et libertés. Bien avant que l’Union européenne ne se dote d’un cadre commun avec la directive 95/46 CE du 24 octobre 1995. Un texte qui visait surtout à assurer la libre circulation de ces données, considérées alors comme des marchandises.

Le 24 mai 2018, l’Europe change de braquet, avec la mise en application immédiate du nouveau Règlement général sur la protection des données ou RGPD. Un dispositif certes allégé des formalités déclaratives préalables, mais in fine plus exigeant. Et qui couvre tous les traitements s’opérant sur les ressortissants de l’Union européenne. Les objectifs de ce texte ? Harmoniser le cadre juridique, renforcer les droits des personnes. Mais aussi responsabiliser les acteurs des traitements de données.

Ainsi, de nouvelles contraintes s’imposeront aux organisations, parmi lesquelles la protection des données dès la conception des traitements et par défaut, la tenue d’un registre des traitements, ou encore l’obtention du consentement explicite et éclairé des personnes concernées (lire p. 19). Le tout, assorti de sanctions considérablement alourdies. Pour les violations les plus graves – concernant les principes de base d’un traitement (dont le consentement), les droits des personnes, les transferts dans des pays tiers… –, cela peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial d’une entreprise. Actuellement, la Cnil ne peut imposer plus de 150 000 euros d’amende. Une misère face aux géants du Net comme Google.

« Les autorités ont bien compris qu’il fallait pénaliser plus fortement les entreprises en cas de manquements », commente José Rodriguez, data protection officer (DPO) de Cornerstone OnDemand (éditeur de solutions cloud de gestion des talents, 3 000 clients dans le monde). Pour Michaël Bittan, associé responsable des activités de gestion des risques cyber chez Deloitte, on quitte le champ des bonnes pratiques pour entrer dans un régime d’obligations : « Ce règlement vise clairement à protéger les données personnelles, et les entreprises vont devoir se mettre en conformité. C’est inédit, considère-t-il. Et cela implique de mettre sur pied une vraie politique de gouvernance de ces données. »

Qu’on ne s’y trompe pas : « Le RGPD s’adresse aussi bien aux grandes organisations qu’aux PME et TPE, explique Éric Pérès, vice-président de la Cnil et secrétaire général de FO-cadres. Et il concerne tous les acteurs de l’entreprise : directions générales, services métier et support, salariés et instances représentatives du personnel. Ce serait une grave erreur, de la part de la DRH, de croire que c’est uniquement l’affaire de la DSI – qui, à cet égard, devra partager son savoir et son pouvoir – ou du correspondant Informatique et Libertés (CIL) [qui deviendra un délégué à la protection des données personnelles ou DPO dans certaines entreprises, lire p. 21]. Car ce faisant, elle risque de passer à côté de la place stratégique qu’elle doit occuper aujourd’hui ! » (lire interview p. 23).

Avec la digitalisation croissante des processus et la sophistication actuelle des outils de gestion, jamais en effet la fonction RH n’a brassé autant de données. Leur exploitation à travers des solutions analytiques lui ouvre encore d’autres perspectives, comme nous l’expliquions dans notre enquête du n° 1320. Des solutions et démarches qu’il faudra maintenant considérer sous le prisme du RGPD. Les DRH ont-elles bien pris toute la mesure du changement ? Rien n’est moins sûr. À l’annonce du nouveau règlement, adopté le 14 avril 2016 par le Parlement européen après quatre années de négociations, les entreprises se sont d’abord, business oblige, préoccupées de leurs données clients.

« Au sein de la fonction RH, la prise de conscience n’est pas si marquée, observe Fanny Bachelet, associée du groupe HR Path. En tant que société de conseil et d’intégration, nous travaillons sur toutes les problématiques de transformation de l’organisation, des processus et des outils RH, et nous sommes en train de faire une analyse d’impacts, sur nos propres activités, de cette nouvelle loi. Force est de constater que nos clients n’en connaissent pas forcément encore bien le contenu et nous interrogent peu sur le sujet, en dehors des démarches plus anciennes à effectuer sur la propriété des données ou dans le cadre d’une internationalisation de leur SIRH. On les sent davantage préoccupés par d’autres sujets de l’actualité législative. » Mais il est vrai, souligne Michaël Bittan, que « personne n’a encore mesuré l’impact que pourrait avoir une fuite de données salariés à grande échelle ».

Le discours des éditeurs est plus nuancé. « Cela dépend de la maturité des entreprises sur cette problématique. Certaines sont en train de se réveiller et s’inquiètent de l’ampleur de la tâche », reconnaît José Rodriguez, de Cornerstone. Chez ADP, qui organise séminaires et webcasts sur le sujet, on note « beaucoup d’intérêt chez nos clients depuis environ un an, sans panique ni crainte particulière. Ils ont, de toute façon, l’habitude de nous voir gérer les changements légaux », assure Cécile Georges, chief privacy officer monde du spécialiste de la paie et des ressources humaines (12 000 clients et 3 millions de salariés servis mensuellement dans l’Hexagone).

« Mais j’ai le sentiment qu’ils veulent surtout savoir ce qu’ADP a prévu de son côté, et comment nous allons les aider à se mettre en conformité, nuance-t-elle. Nous assurons évidemment, et depuis toujours, la protection technique et juridique des données que nous traitons, car c’est notre cœur de métier. Nous avons lancé un programme de mise en œuvre de ce règlement, qui va prochainement s’étoffer de règles internes contraignantes, ce qu’on appelle des binding corporate rules ou BCR, pour encadrer les transferts de données en dehors de l’Union européenne. Mais il y a ce qui s’applique à ADP et ce qui relève de la responsabilité de nos clients. Malgré tout, nous ferons le maximum pour les accompagner », annonce-t-elle.

Constat similaire chez Cornerstone : « La plupart des données sont aujourd’hui stockées dans le cloud par des prestataires. Le premier réflexe du client est donc de s’assurer que tout est en conformité de ce côté-là, convient José Rodriguez. Mais le nouveau règlement sépare de façon explicite les obligations des « processeurs de données » de celle de leurs clients. Les entreprises ont, me semble-t-il, un peu tendance à oublier que, dans un processus RH, il faut aussi et surtout tenir compte de l’utilisation qui est faite des données. Nous fournissons des solutions sécurisées, mais dans le cas d’un self-service RH, par exemple, 80 % de la conformité – gestion des accès, droits des utilisateurs, etc. – reviendra à l’entreprise utilisatrice. »

Autant dire que les DRH vont devoir décoller le nez de leurs tableaux de bord pour aller regarder de plus près leurs systèmes informatiques, leurs traitements et leurs bases de données (lire p. 20). Une bonne occasion de faire un peu de ménage dans les vieux fichiers. Et de sensibiliser les salariés à la problématique : « La protection des données est l’affaire de tous, rappelle Anatole de la Brosse, directeur général adjoint de Sia Partners, cabinet de conseil en management. Il faut appeler à la vigilance sur les papiers qui traînent sur les bureaux, les dossiers personnels stockés en ligne. Une charte de bonnes pratiques n’est pas suffisante. Il est nécessaire de former l’ensemble des collaborateurs. » C’est d’ailleurs ce à quoi s’applique Randstad (lire p. 22).

La Cnil, elle, conserve son rôle de conseil, de contrôle et de sanction, avec la possibilité d’intervenir sur site ou à distance en cas de plainte ou de risque avéré. « Aujourd’hui, nous accompagnons ce passage au RGPD qui ne va pas de soi. Les recommandations de la Cnil vont devenir un cadre référentiel pour mieux appréhender ce règlement. Et nous allons également proposer des labellisations », explique Éric Pérès.

Pour le secrétaire général de FO-Cadres, il appartient aussi aux comités d’entreprise et aux CHSCT de réclamer, le cas échéant, des audits externes sur les traitements algorithmiques, d’exiger de la transparence afin d’éviter les dérives liées au profilage. « Attention aux “boîtes noires” qui vont brasser des milliers de données pour vérifier l’adéquation émotionnelle, comportementale, voire corporelle des candidats et des salariés aux valeurs de l’entreprise. Le risque, c’est l’exclusion ! », met-il en garde. En appelant les entreprises à être particulièrement attentives au respect des principes de finalité et de proportionnalité des traitements.

> Selon l’article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres, constitue une donnée à caractère personnel.

> Un traitement de données à caractère personnel est constitué par toute opération ou ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

> Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données accessibles selon des critères déterminés.

Au regard du montant des sanctions envisagées, le règlement européen fait (enfin) de la protection des données personnelles un enjeu d’entreprise à l’heure de la transformation numérique. Si le RGPD reste fidèle à l’esprit de la directive européenne de 1995, il renforce très nettement les obligations et inverse la charge de la preuve. Aujourd’hui, la Cnil constate les manquements lors de ses contrôles, laissant au responsable du traitement le soin de régulariser. Demain, il appartiendra à ce dernier de démontrer à tout moment qu’il est en conformité.

La déclaration préalable à la Cnil est supprimée mais remplacée par des mécanismes d’autocontrôle, autrement plus contraignants. Le RGPD repose ainsi sur la notion de responsabilisation ou accountability, qui s’applique au responsable du traitement mais aussi à ses sous-traitants instaurant un régime de coresponsabilité.

Cette responsabilisation s’appuie sur deux grands principes. Le premier est le privacy by design. La notion du respect de la vie privée doit être prise en compte dès la conception d’une base de données, d’une application ou d’un service. Le responsable du traitement s’assure de ne collecter que les informations dont il a besoin, et de les traiter avec « loyauté ». Cette garantie s’applique durant toute la vie de la donnée, de sa collecte à sa suppression. Le tout, en totale transparence sur la finalité du traitement. « L’organisation doit sans cesse se poser les questions : Est-ce que cette donnée est sensible ou non ? Va-t-elle vraiment me servir ? », souligne Stéphanie Denis-Lecerf, DRH de PageGroup France. Le second principe, le privacy by default, est intrinsèquement lié au premier. Les dispositifs assurant le respect de la vie privée sont non seulement embarqués nativement dans l’application ou le service mais activés par défaut. L’organisme public ou l’entreprise privée traitant des données personnelles garantit ainsi le plus haut niveau possible de protection.

Pour garantir ces deux principes, le responsable du traitement doit recueillir l’accord explicite et éclairé de la personne (opt-in) et être en capacité d’en apporter la preuve. Il précisera la finalité du traitement et les modalités des différents droits que l’intéressé peut exercer : droit d’accès et de rectification, retrait du consentement, droit à l’oubli…

Par ailleurs, il s’agit de mettre en place les dispositifs assurant la sécurisation des données critiques de type anonymisation ou chiffrement. La DRH devra ainsi assurer la protection et la confidentialité des données salariés pendant tout le parcours du collaborateur. « A priori, les systèmes de paie ou de gestion des carrières sont sécurisés, mais il faudra néanmoins formaliser par écrit les moyens de protection mis en œuvre, observe Anatole de la Brosse, directeur général adjoint du cabinet de conseil en management et stratégie opérationnelle Sia Partners. Pour des petites entreprises moins bien loties que les grandes structures, cela pourrait déboucher sur des projets de sécurisation. »

La contrainte la plus forte du RGPD est l’obligation de tenir un registre actualisé des différents traitements, selon Anatole de la Brosse. Un chantier d’ampleur au regard du grand nombre de documents sensibles que manipule une DRH : de la base de CV aux indemnités de licenciement en passant par les comptes rendus des entretiens d’évaluation. Les entreprises de moins de 250 salariés sont dispensées de cette obligation.

Enfin, le RGPD introduit une obligation de notification par le responsable de traitement en cas de fuite de données (data breach). Il doit alerter l’autorité de contrôle « dans les meilleurs délais », si possible dans les 72 heures après en avoir pris connaissance. Une gageure quand on sait, d’après une étude du Ponemon Institute, que le temps moyen de détection dépasse trois mois dans le secteur de la finance et plus du double dans la distribution. X. B.

Tous les processus RH sont concernés par le Règlement général sur la protection des données (RGPD), estime Anatole de la Brosse, directeur général adjoint de Sia Partners. À commencer par le recrutement, dont il va falloir repenser le traitement. « Aujourd’hui, des entreprises conservent un vivier de candidatures rejetées mais potentiellement intéressantes pour leurs projets futurs. Elles ne pourront plus le faire demain, explique-t-il. Demander le consentement explicite du postulant pour conserver ces informations compliquerait le processus. Si le candidat est reçu en entretien, il faudra lui assurer l’accès au compte rendu et garantir qu’il sera systématiquement détruit. »

Une fois la recrue embauchée, il faut l’informer sur ses droits d’accès, de rectification, de suppression des données le concernant. « La DRH doit mettre en œuvre les dispositifs qui lui permettent d’exercer ces droits. »

« Elle doit aussi repenser les processus de gestion de carrière, toiletter les formats de données, se restreindre aux informations vraiment utiles et respecter la durée légale de conservation », poursuit-il.

Au départ du salarié, elle devra s’assurer que ses données seront supprimées en temps et en heure (les documents papier archivés sont également concernés). Ce qui suppose la mise en place de processus automatiques de destruction. « Cela va appauvrir le patrimoine informationnel de la DRH », commente-t-il. Sauf à garantir l’anonymisation des données pour une utilisation statistique.

Pour Anatole de la Brosse, on peut résumer la mise en conformité au RGPD en cinq étapes :

(1) Documenter et lister les traitements pour la tenue du registre.

(2) Revoir l’ensemble des documents à destination des collaborateurs et informer les candidats et les salariés sur les modalités d’exercice de leurs droits.

(3) S’assurer que les moyens de protection informatique et physique garantissent la sécurité et que la gestion des habilitations est conforme.

(4) Automatiser la suppression des données et des dossiers papiers dans les salles d’archives.

(5) Former les collaborateurs à la protection des données. X. B.

La DRH est concernée au premier chef par le Règlement général sur la protection des données (RGPD). Elle manipule un grand nombre de données nominatives. Quelle que soit sa taille, une entreprise a toujours une base RH, ne serait-ce que pour effectuer les déclarations obligatoires et verser les salaires. Il ne faut pas oublier qu’un fichier Excel, c’est une base de données.

La DRH doit tenir un registre très précis de tous les traitements de données personnelles en y indiquant la finalité, la durée de conservation ou les mesures de protection mises en œuvre. Cela concerne naturellement les bases de données paie mais aussi celles liées au recrutement, au suivi de carrière ou aux entretiens d’évaluation.

Elle s’intéressera aux outils de contrôle de type badges d’accès, gestion du temps du travail, géolocalisation ou vidéosurveillance générant des informations particulièrement sensibles. Rappelons que le RGPD s’applique aux données de tous les ressortissants de l’Union européenne. Ce qui élargit considérablement le périmètre.

Par ailleurs, le nouveau règlement va vers un renforcement du consentement des collaborateurs. D’un consentement parfois par défaut, implicite, on passe à un consentement clair, explicite et qui peut être retiré à tout moment. Pas question de constituer une base de recrutement grâce à des CV collectés dans diverses CVthèques ou depuis les réseaux sociaux sans accord de l’intéressé.

La DRH doit, bien sûr, s’assurer que ses sous-traitants sont également en conformité. Cela passe par une revue de détails des contrats qui devront être enrichis et beaucoup plus précis sur la finalité du traitement et les mesures prises pour garantir la protection des données personnelles. Mais si la responsabilité du sous-traitant est renforcée, le responsable du traitement reste garant de la protection des données. Il est donc souhaitable qu’il s’aménage la possibilité de conduire des audits réguliers chez ses fournisseurs.

Enfin, la DRH a aussi pour mission de sensibiliser les collaborateurs au sujet. Chez PageGroup, nous formons nos consultants en recrutement sur les enjeux de la « data protection » dès leur arrivée. X. B.

> Outre le texte du RGPD, la Cnil propose sur son site (www.cnil.fr) un guide de préparation en six étapes.

> GDPR : Par où commencer ? Livre blanc de Deloitte, téléchargeable sur le site de la société d’audit et de conseil.