La mise en conformité d'un Système d'Information des Ressources Humaines (SIRH) avec le Règlement Général sur la Protection des Données (RGPD) est essentielle pour garantir la sécurité des données à caractère personnel et respecter les droits des employés. Contrairement à une certaine idée reçue, l’utilisation d’une solution elle-même annoncée « conforme RGPD » n’est pas suffisante.
Nous vous proposons 5 aspects clés à vérifier afin d’encadrer l’utilisation de votre SIRH.
1- Encadrement contractuel et transferts de données
La première étape vers la conformité RGPD consiste à établir un cadre contractuel solide. Les contrats avec vos fournisseurs doivent inclure des sections détaillées sur le traitement des données personnelles. Celles-ci doivent énoncer les obligations de chaque partie en matière de protection des données et inclure des clauses spécifiques sur les conditions de transfert de données, particulièrement en dehors de l'UE, pour garantir que ces transferts respectent le RGPD.
2- Maîtrise de la donnée
Les données collectées dans le SIRH doivent être soumises au principe de minimisation des données, en ne collectant que les données strictement nécessaires aux finalités des traitements RH. Il est également impératif de définir clairement les durées de conservation des données personnelles et de mettre en place des mécanismes de purge automatique pour les supprimer lorsque celles-ci ne sont plus nécessaires ou lorsque la période de conservation légale est expirée.
3- Sécurité technique
Le SIRH est mis en œuvre au sein d’un système d’information doté de mesures de sécurité qu’il est nécessaire de respecter. Les mesures de sécurité techniques doivent être documentées par le fournisseur et être adaptées à la solution déployée et aux risques encourus. Nous pouvons rappeler 3 points essentiels :
Mises à jour : Assurez-vous que le SIRH est régulièrement mis à jour pour corriger toute faille de sécurité et rester à jour avec les meilleures pratiques de sécurité.
Chiffrement : Il est fortement recommandé de chiffrer vos données lorsqu'elles sont stockées (au repos) et lors de leur transmission (en transit) pour protéger contre les accès non autorisés.
Sauvegardes : Des sauvegardes régulières doivent être réalisées et testées pour leur intégrité afin de garantir la récupération des données en cas de perte ou de corruption.
4- Sécurité organisationnelle
Comme pour la sécurité technique, la sécurité organisationnelle doit être documentée. Quelques points sont absolument incontournables au sein du SIRH :
Gestion des droits : L'accès aux données personnelles doit être strictement réservé aux personnes autorisées, avec des contrôles d'accès basés sur le rôle de chaque utilisateur.
Gestion des accès et authentification : Les systèmes d'authentification robustes (2FA) sont essentiels pour vérifier l'identité des utilisateurs avant de leur permettre l'accès aux données sensibles.
Journalisation : Il est important de maintenir des logs détaillés des activités des utilisateurs pour permettre un audit efficace et la détection rapide de toute activité suspecte.
Formation des utilisateurs : Les employés doivent être régulièrement formés et sensibilisés sur les principes du RGPD et les pratiques de sécurité des données pour minimiser les risques de violations.
5- Droits des personnes
Le SIRH doit faciliter l'exercice des droits des personnes concernées :
Gestion des consentements : Le système doit pouvoir documenter de manière précise et vérifiable les consentements recueillis, permettant aux employés de les retirer aussi facilement qu'ils ont été accordés.
Droits d'accès, de rectification et d'effacement : Les employés doivent pouvoir accéder à leurs données, demander des corrections ou l'effacement de leurs données personnelles de manière simple et rapide.
En bref : Points de contrôle SIRH :
1- Encadrement contractuel : section ou annexe relative au traitement des données à caractère personnel incluant les dispositions concernant les éventuels transferts de données
2- Maîtrise de la donnée : minimisation, respect des durées de conservation, purge automatique
3- Sécurité technique : respect des règles de la structure dont : mises à jour, chiffrement, sauvegardes.
4- Sécurité organisationnelle : gestion des accès, authentification et autorisation, journalisation et recherche de compromission, formation des utilisateurs.
5- Droits des personnes : gestion des consentements, accès, rectification, effacement.
En respectant ces points de contrôle, les entreprises peuvent non seulement renforcer la conformité de leur SIRH avec le RGPD mais aussi renforcer la confiance des employés dans la gestion de leurs données personnelles. Un audit régulier et des ajustements continus du SIRH sont recommandés pour maintenir cette conformité dans le temps.