Les erreurs de conformité RGPD en entreprise

29 juin 2024

La mise en conformité avec le Règlement Général sur la Protection des Données (RGPD) est devenue une priorité incontournable pour les services des ressources humaines (RH). Depuis l’entrée en vigueur du règlement européen en avril 2016, de nombreuses obligations sont imposées aux entreprises en matière de traitement des données personnelles.

En pratique, les erreurs commises par les services RH sont nombreuses. Voici les erreurs les plus fréquentes et les mesures correctives à adopter pour assurer une conformité RGPD exemplaire.

Collecter trop d’informations : une erreur courante

Les RH sont amenées à collecter des données personnelles à différentes étapes, notamment lors des entretiens d’embauche, à la signature des contrats, et pendant la vie du contrat de travail (par exemple lors des évaluations annuelles). La tentation est souvent grande de collecter un maximum d’informations, dans l’idée de prévenir d’éventuelles difficultés futures. Mais cette façon de faire, bien que compréhensible, va à l’encontre du principe de minimisation des données, un des fondements du RGPD. Ce principe impose de ne collecter que les données strictement nécessaires au regard de la finalité prévue. Par exemple, demander le numéro de sécurité sociale lors de l’entretien d’embauche n’est pas justifiable, car il ne s’agit pas d’une donnée pertinente à ce stade.

Conserver des données inutiles : une gestion approximative

Une autre erreur courante est de conserver des données obsolètes ou non pertinentes. Lorsqu’un candidat n’est pas retenu, les services RH doivent s’assurer de supprimer ses données personnelles après une période raisonnable, qui est de deux ans selon la CNIL. Garder indéfiniment ces données, ou celles des salariés ayant changé de situation, est non seulement une faute, mais expose également l’entreprise à des sanctions. Une bonne pratique consiste à mettre en place un référentiel de conservation des données, permettant de suivre précisément les durées de conservation légales et les délais de suppression.

Négliger la protection des données des employés

La protection des données personnelles n’est pas qu’une question de conformité, elle est aussi une question de confiance. De nombreuses entreprises font encore l’erreur de ne pas protéger correctement les données de leurs employés. L’absence de mots de passe ou de cryptage pour les fichiers sensibles, ainsi qu’une transmission non encadrée à des tiers (comme des sous-traitants), sont des pratiques qui peuvent avoir des conséquences graves. Pour pallier ce problème, il est nécessaire de mettre en place des mesures de sécurité adaptées, telles que des procédures de renouvellement de mots de passe, un chiffrement des données sensibles et des clauses de confidentialité précises dans les contrats avec les sous-traitants.

Recours imprudent aux nouvelles technologies : vidéosurveillance et vie privée

L’usage accru des nouvelles technologies, comme la vidéosurveillance, expose les entreprises à des risques de non-conformité. Bien que l’installation de caméras soit légale, elle doit être justifiée par un intérêt légitime, et ne pas porter atteinte de manière disproportionnée à la vie privée des salariés. Par exemple, la vidéosurveillance ne doit jamais couvrir les zones de pause ou les postes de travail directement. De plus, il est impératif de supprimer les images lorsqu’elles ne sont plus nécessaires, en général au bout d’un mois, sauf en cas d’utilisation à des fins de preuve dans une procédure.

Former insuffisamment le personnel au RGPD : une source de nombreux problèmes

La non-conformité au RGPD est souvent liée à un manque de formation des équipes RH. Une sensibilisation systématique au traitement des données personnelles, via des formations internes ou des MOOC qu’on peut trouver sur le site de la CNIL, permettrait d’éviter bon nombre d’erreurs. Il est également pertinent de désigner un délégué à la protection des données (DPO), qui aura pour mission de conseiller l’entreprise et de veiller au respect des règles en matière de protection des données.

Mettre en place une véritable culture de la protection des données personnelles au sein de l’entreprise, former les collaborateurs et veiller à la sécurité des informations sont des mesures indispensables pour éviter les écueils liés au RGPD. En respectant ces principes, l’entreprise ne se contente pas de remplir ses obligations légales : elle crée aussi un climat de confiance, favorable à l’engagement de ses salariés et à son image de marque.