Prise en compte des données personnelles et confidentielles dans un projet SIRH
Les Systèmes d’Information de Ressources Humaines (SIRH) traitent de nombreuses données personnelles et confidentielles des employés et candidats. Voici les principales catégories :
La prise en compte du RGPD dès la phase amont de préparation au projet
Il est essentiel de prendre en compte le RGPD dès la phase amont de préparation au projet, c’est-à-dire dès l’étape numéro 1, et non uniquement au moment de la migration des données ou du déploiement du nouveau SIRH. Le RGPD impose des obligations strictes dès la conception du projet, notamment avec le concept de « privacy by design » (protection des données dès la conception) et « privacy by default » (par défaut, seules les données nécessaires doivent être collectées et traitées).
Dès la préparation du projet, vous devez intégrer des réflexions sur la protection des données pour t’assurer que le SIRH respecte les principes du RGPD, comme la minimisation des données, la sécurité, et le consentement. Cela vous évite des problèmes en aval, notamment au moment de la migration des données ou du déploiement.
La migration des données est une étape critique pour garantir que les données sont transférées en toute sécurité, mais le respect du RGPD doit être un fil conducteur tout au long du projet, pas seulement dans les dernières phases.
Zoom sur les données personnelles et confidentielles d’un SIRH
Données d’identification
– Nom et prénom
– Date et lieu de naissance
– Adresse personnelle
– Numéro de téléphone
– Adresse email
– Numéro de sécurité sociale
Informations professionnelles
– Compétences et qualifications
– Formations suivies
– Historique des postes occupés
– Évaluations de performance
– Salaire et augmentations
Données sensibles
– Informations de santé
– Données sur un éventuel handicap
– Appartenance syndicale
– Origine ethnique (dans certains pays)
Données financières et administratives
– Coordonnées bancaires
– Situation fiscale
– Arrêts de travail
– Congés et absences
Données liées au recrutement
– CV et lettres de motivation
– Résultats de tests d’embauche
– Notes d’entretiens
Il est crucial que l’entreprise définisse précisément qui a accès à ces différentes catégories de données et justifie leur utilisation. De plus, la durée de conservation de ces informations doit être limitée et cohérente avec leur finalité.
Le RGPD impose aux entreprises de mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité de ces données sensibles. Cela inclut notamment la mise en place d’habilitations d’accès restreintes, le chiffrement des données, et la formation des employés à la protection des données personnelles.
Quelles sont les données personnelles les plus sensibles traitées par un SIRH ?
Données de santé
Ces données ( Informations médicales, Arrêts de travail, Données sur un éventuel handicap ) sont considérées comme particulièrement sensibles car elles touchent à l’intimité et à la vie privée des employés.
Données d’identification
Numéro de sécurité sociale, Date et lieu de naissance ou adresse personnelle sont autant d’informations permettent d’identifier précisément une personne et doivent donc être protégées contre tout accès non autorisé.
Données financières
Les informations relatives à la rémunération et aux finances personnelles sont considérées comme confidentielles : Salaire et augmentations, coordonnées bancaires ou encore situation fiscale
Données d’évaluation
Les évaluations de performance, les résultats de tests d’embauche ou encore les notes d’entretiens sont des données pouvant avoir un impact important sur la carrière d’un employé et doivent être traitées avec précaution.
Autres données sensibles
Ces informations sont considérées comme sensibles car elles peuvent potentiellement être source de discrimination. On y retrouve l’appartenance syndicale ou encore l’origine ethnique (dans certains pays).
La protection de ces données sensibles est cruciale. Les entreprises doivent mettre en place des mesures de sécurité renforcées, comme le chiffrement, et limiter strictement leur accès au personnel habilité. Elles doivent également obtenir le consentement explicite des employés pour leur traitement, sauf exception légale.
Comment un SIRH garantit-il la sécurité des données personnelles ?
Un SIRH (Système d’Information des Ressources Humaines) peut garantir la sécurité des données personnelles de plusieurs façons :
Centralisation et contrôle d’accès
– Centralisation des données dans un système sécurisé, limitant les risques de fuites
– Mise en place de contrôles d’accès stricts, assurant que seules les personnes autorisées peuvent accéder aux données sensibles
– Authentification à plusieurs facteurs pour renforcer la sécurité des accès
Chiffrement et protection des données
– Mise en œuvre de mesures de cryptage des données pour les protéger
– Mise en place de mesures techniques et organisationnelles pour garantir la sécurité et la confidentialité des données stockées
Traçabilité et audit
– Enregistrement et suivi de tous les accès et modifications apportées aux données personnelles
– Mise en place de journaux d’activité détaillés (historique des transactions, accès, révisions, etc.)
– Facilitation des audits et de la détection d’éventuelles anomalies
Gestion des durées de conservation
– Automatisation de la suppression ou de l’anonymisation des données après une certaine période
– Respect des durées de conservation définies conformément aux exigences légales
Détection et prévention des fraudes
– Utilisation de reportings automatisés pour identifier les schémas frauduleux
– Alertes en cas de problèmes de qualité des données ou d’activités suspectes
Conformité RGPD
– Intégration de fonctionnalités permettant de recueillir et gérer les consentements des employés
– Mise en place d’un registre des activités de traitement
– Facilitation de l’exercice des droits des personnes (accès, rectification, suppression, etc.)
En mettant en œuvre ces mesures de sécurité et de conformité, un SIRH peut contribuer efficacement à la protection des données personnelles des employés tout en permettant une gestion RH efficace et conforme à la réglementation.
Les meilleures sources sur le sujet du RGPD et du SIRH
[1] https://www.convictionsrh.com/fr/news/protection-des-donnees-personnelles-et-rgpd-les-questions-a-se-poser-lors-du-deploiement-dun-sirh/
[2] https://www.skillup.co/blog/article/votre-sirh-respecte-t-il-les-obligations-du-reglement-general-sur-la-protection-des-donnees-rgpd
[3] https://www.eurecia.com/blog/rgpd-donnees-rh-enjeux-obligations/
[4] https://www.convictionsrh.com/fr/offers/sirh-digital-old/protection-et-confidentialite-des-donnees/
[5] https://www.sigma-rh.com/fr-fr/blog/securite-des-donnees-personnelles-un-enjeu-pour-toute-lentreprise/
[6] https://www.digitalrecruiters.com/blog/sirh-definition-quest-ce-quun-systeme-dinformation-ressources-humaines
[7] https://hr-path.com/fr/actualites-rh/decryptez-le-rgpd-protegez-vos-donnees-sirh/2023/11/28/
[8] https://www.sqorus.com/rgpd-et-donnees-rh-bonnes-pratiques/
[9] https://www.skillup.co/blog/article/votre-sirh-respecte-t-il-les-obligations-du-reglement-general-sur-la-protection-des-donnees-rgpd
[10] https://www.convictionsrh.com/fr/offers/sirh-digital-old/protection-et-confidentialite-des-donnees/
[11] https://pialab.io/blog/sirh-et-rgpd
[12] https://payhawk.com/fr/blog/role-sirh-securite-des-donnees-risque-fraude
[13] https://www.servicesrh.online/sirh/optimisation-de-la-gestion-du-personnel/bilan-social-statistiques-rh/rgpd-et-larchivage-des-donnees-rh/
[14] https://www.fr.adp.com/rhinfo/articles/2024/01/la-securite-des-donnees-collaborateur.aspx
[15] https://www.digitalrecruiters.com/blog/rh-les-conseils-pour-heberger-vos-donnees-en-securite