Dans moins d’un an, le nouveau règlement européen sur la protection des données personnelles entrera en application, avec des dispositions plus contraignantes qu’auparavant. Les RH, qui brassent des milliers d’informations sur leurs salariés, doivent se pencher sur la mise en conformité de toutes ces opérations.
« Un top 50 des agents les plus malades » à La Poste : dans un communiqué du 2 juin, la fédération Sud PTT annonce avoir saisi la Cnil et l’Ordre des médecins après la découverte d’un fichier nominatif classant une partie du personnel de la plate-forme logistique de Bonneuil-sur-Marne (94) en fonction du nombre de jours d’arrêt de travail, par ordre décroissant, dont ces agents ont bénéficié. « L’inspection du travail a, elle aussi, été alertée pour se prononcer sur le caractère discriminatoire de ce document », ajoute le syndicat, indigné par une telle pratique.
Interrogée par l’AFP, la direction de La Poste évoque, elle, « un dispositif d’accompagnement des collaborateurs éloignés du service pour des raisons de santé ». Un fichier utile « réservé aux managers et aux RH », mais dont un des onglets « est très maladroitement intitulé », reconnaît-elle. Et de déclarer que « les modalités concrètes de la tenue de ce fichier vont être examinées avec la plus grande attention pour s’assurer de leur entière conformité ».
Intention peu louable, démarche mal encadrée ou simple négligence : lorsqu’il est question de données à caractère personnel (lire l’encadré ci-dessous), on joue avec le feu. Particulièrement dans l’Hexagone qui disposait, dès janvier 1978, de sa loi Informatique et libertés. Bien avant que l’Union européenne ne se dote d’un cadre commun avec la directive 95/46 CE du 24 octobre 1995. Un texte qui visait surtout à assurer la libre circulation de ces données, considérées alors comme des marchandises.
Le 24 mai 2018, l’Europe change de braquet, avec la mise en application immédiate du nouveau Règlement général sur la protection des données ou RGPD. Un dispositif certes allégé des formalités déclaratives préalables, mais in fine plus exigeant. Et qui couvre tous les traitements s’opérant sur les ressortissants de l’Union européenne. Les objectifs de ce texte ? Harmoniser le cadre juridique, renforcer les droits des personnes. Mais aussi responsabiliser les acteurs des traitements de données.
« Les autorités ont bien compris qu’il fallait pénaliser plus fortement les entreprises en cas de manquements », commente José Rodriguez, data protection officer (DPO) de Cornerstone OnDemand (éditeur de solutions cloud de gestion des talents, 3 000 clients dans le monde).
Pour Michaël Bittan, associé responsable des activités de gestion des risques cyber chez Deloitte, on quitte le champ des bonnes pratiques pour entrer dans un régime d’obligations : « Ce règlement vise clairement à protéger les données personnelles, et les entreprises vont devoir se mettre en conformité. C’est inédit, considère-t-il. Et cela implique de mettre sur pied une vraie politique de gouvernance de ces données. »
Qu’on ne s’y trompe pas : « Le RGPD s’adresse aussi bien aux grandes organisations qu’aux PME et TPE, explique Éric Pérès, vice-président de la Cnil et secrétaire général de FO-cadres. Et il concerne tous les acteurs de l’entreprise : directions générales, services métier et support, salariés et instances représentatives du personnel. Ce serait une grave erreur, de la part de la DRH, de croire que c’est uniquement l’affaire de la DSI – qui, à cet égard, devra partager son savoir et son pouvoir – ou du correspondant Informatique et Libertés (CIL) [qui deviendra un délégué à la protection des données personnelles ou DPO dans certaines entreprises]. Car ce faisant, elle risque de passer à côté de la place stratégique qu’elle doit occuper aujourd’hui ! »
Digitalisation. Avec la digitalisation croissante des processus et la sophistication actuelle des outils de gestion, jamais en effet la fonction RH n’a brassé autant de données. Leur exploitation à travers des solutions analytiques lui ouvre encore d’autres perspectives, comme
