Impression personnalisée

Sélectionnez les paragraphes que vous désirez imprimer

Informatique

RGPD : qu'est-ce qu'un traitement de données personnelles en RH ?

L'entreprise qui traite des données personnelles doit respecter le RGPD et la loi informatique et libertés. Mais concrètement pour les RH, que faut-il entendre par « traitement » de données personnelles ? Est-ce un fichier informatique ou papier ou encore, un simple dossier ?

Des données personnelles

Toute information se rapportant à une personne physique identifiée ou identifiable est une donnée personnelle (règlt UE 2016/679 du 27 avril 2016, art. 4, JOUE 4 mai 2016). Et, les services ressources humaines (RH), de gestion du personnel ou paie gèrent les données personnelles de candidats à l'embauche, de salariés et d'anciens salariés (voir RF Social, Cahier juridique 190, « Protection des données et utilisation des TIC dans la gestion du personnel »).

Exemple

Les nom et prénom, le sexe, la date de naissance, la nationalité, le numéro de sécurité sociale, les coordonnées bancaires, le diplôme obtenu et les formations suivies, le type de permis détenu, la photo, l'adresse personnelle, les coordonnées de la personne à prévenir en cas d'urgence sont des données personnelles.

Des traitements et des fichiers

Définitions. - Le RGPD s'applique au traitement, automatisé ou non, de données à caractère personnel contenues ou appelées à figurer dans un fichier (règlt UE 2016/679 du 27 avril 2016, art. 2 et 4).

Un traitement est « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel ». Par exemple, l'employeur collecte, traite et archive des données personnelles des salariés pour la gestion administrative du personnel.

Un fichier est « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».

Impacts pour les RH. - Les fichiers RH, de gestion administrative du personnel ou de la paie, qu'ils soient informatisés ou papiers, relèvent du RGPD.

En pratique, un fichier papier peut être défini comme un ensemble de fiches (listes ou dossiers) organisé selon un plan de classement (ou d'indexation) permettant d’accéder aux données. Il peut aussi s'agir de « formulaires papiers nominatifs ou de dossiers de candidatures classés par ordre alphabétique ou chronologique » (« Un traitement de données à caractère personnel, c'est quoi ? », Q/R CNIL, www.cnil.fr).

Exemple

Les fichiers permettant de gérer les recrutements, de répertorier les salariés sous forme d'annuaire ou d'organigramme, d'exploiter les données issues de la badgeuse ou de la vidéosurveillance, regroupant les dossiers professionnels, faisant état notamment des sanctions disciplinaires, sont concernés.

À l'inverse, des dossiers ou ensembles de dossiers qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du RGPD (règlt UE précité, considérant 15).

Impacts pour le CSE. - Le comité social et économique (ou le comité d'entreprise) est concerné par le RGPD dès qu'il détient des fichiers avec des données personnelles de salariés (ex. : situation de famille, informations concernant les ayants droit comme les enfants), par exemple pour gérer les activités sociales et culturelles.

Parution: 01/2019
Droits de reproduction et de diffusion réservés © Groupe Revue Fiduciaire 2019. Usage strictement personnel. L'utilisateur du site reconnaît avoir pris connaissance de la licence de droits d'usage, en accepter et en respecter les dispositions.