Le Règlement général sur la protection des données (RGPD) pose plusieurs grands principes (licéité du traitement, principe de minimisation, durée de conservation…). Comment sont-ils appliqués au sein des services de ressources humaines (RH)?
. – «Pour qu’un traitement de données soit licite, il doit reposer sur l’une des bases légales données par le texte. Typiquement, ça sera l’exécution du contrat de travail, mais ça peut aussi être le respect d’une obligation légale qui pèse sur l’employeur ou encore l’intérêt légitime de celui-ci. Pour cette dernière option, il faut faire attention à ce que cet intérêt légitime n’outrepasse pas les droits et libertés des salariés.
Le consentement n’est pas forcément une bonne base légale dans la relation de travail, du fait du lien de subordination entre employé et employeur. Ici le consentement, qui doit être libre, ne correspond pas aux exigences de la règlementation.
Pour le principe de minimisation (les données collectées doivent aussi être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, ndlr), il n’y a pas de règle qui dit que, dans telle situation, c’est telles données qu’il faut collecter: c’est de l’appréciation au cas par cas. Il faut ici toujours se poser une question. Est-ce que j’ai vraiment besoin de cette donnée à ce moment précis?
La durée de conservation des données doit également être limitée. Comment est-elle déterminée?
«Dans la relation de travail, il n’y a pas d’obligation légale de conserver certaines données un certain temps. Elle doit donc être déterminée par le responsable du traitement (l’entreprise) en fonction de la finalité du traitement. Il doit chercher des critères objectifs pour la définir, qui sont notamment les délais de prescription. Pour les actions en paiement des rémunérations, il est de trois ans: le responsable de traitement peut donc estimer qu’il faut conserver les fiches de salaires pour cette même durée.
Les RH ont souvent un stock de tous les CV qui sont passés entre leurs mains, mais c’est quelque chose qu’elles ne peuvent pas faire.
Il est important d’avoir une politique de conservation des données pour savoir jusqu’à quand une donnée peut être conservée, mais aussi comment elle est conservée et comment elle sera détruite une fois la finalité atteinte. Pour prendre un exemple concret, les RH ont souvent un stock de tous les CV qui sont passés entre leurs mains… mais c’est quelque chose qu’elles ne peuvent pas faire.
Est-ce que les RH sont réellement impliquées dans la prise de ces décisions?
«Normalement, c’est l’employeur, en tant que responsable du traitement, qui doit déterminer quelles données doivent être traitées, sur quelles bases légales, dans quelles finalités et pour combien de temps il faut les conserver. La fonction RH va nécessairement être un support, puisque c’est elle qui va appliquer les procédures internes au quotidien. Il faut une concertation.
Cela dépend beaucoup de la taille de l’entreprise. Dans les plus grandes, il y a un service RH, un service IT, voire un service juridique et parfois même un DPO, qui travaillent tous ensemble. La difficulté avec le RGPD est qu’il s’applique de la même façon aux grandes et aux petites entreprises. Au sein de ces dernières, les choses sont moins cloisonnées et c’est plus compliqué.
Est-ce que les salariés utilisent concrètement les droits que leur confère le RGPD?
«Ils en ont de plus en plus conscience. C’est quelque chose qui a encore vocation à évoluer, mais les salariés font de plus en plus attention à l’endroit où se trouvent leurs données et comment elles sont utilisées.
Dans ma pratique, je vois d’anciens salariés qui adressent des demandes de droit d’accès à leur ancien employeur – il faut se le dire, parfois un peu pour les embêter – voir des demandes d’effacement.
Dans ma pratique, je vois d’anciens salariés qui adressent des demandes de droit d’accès à leur ancien employeur – il faut se le dire, parfois un peu pour les embêter – voire des demandes d’effacement. Le salarié peut vouloir récupérer ces informations dans un souci pré-contentieux.
Quel est le rôle des représentants du personnel dans tout ça?
«La délégation du personnel a vocation à intervenir de manière très concrète et c’est une spécificité du Luxembourg. L’article L. 261-1 du Code du travail prévoit, dans certains cas, une obligation d’information collective préalable à l’égard de la représentation du personnel, en plus de l’information individuelle des salariés au sens des articles 12 et 13 du RGPD.
Il y a aussi un principe de co-décision: la délégation du personnel peut bloquer un projet de traitement qui est mis en œuvre pour certaines finalités spécifiques et même dans ce cas, faire un recours direct devant la CNPD pour avoir son avis sur le traitement en question.
Quels sont les questions et les besoins des RH sur le thème des données?
«Un gros travail a été fait au moment de l’entrée en vigueur du RGPD, que ce soit au niveau de la CNPD ou de la Chambre de commerce par exemple. Elles ont lancé des initiatives pour sensibiliser les entreprises.
Les processus RH vont être de plus en plus digitalisés et l’intelligence artificielle va nécessairement se répercuter sur tout cela, ce qui va soulever de nouvelles questions.
Concernant les entreprises du secteur financier qui sont nombreuses à Luxembourg, elles ont l’habitude de la règlementation en général et elles se sont vite adaptées. Cependant, chez les PME, il y a plus de décalage. On voit souvent des employeurs qui se disent qu’avec seulement deux ou trois employés, ils ne traitent pas des données.
La règlementation est nécessaire sur le sujet des données, mais les petites entreprises n’ont souvent pas de budget à consacrer à la mise en conformité. La difficulté est là.
Est-ce que l’évolution des technologies et des modes de travail entrainera une évolution des problématiques liées aux données pour les RH?
«Quand le RGPD a été mis en place en 2018, la volonté était qu’il soit technologiquement neutre. Il est censé pouvoir s’adapter à l’évolution de la technologie, car les principes qu’il pose sont de grands concepts qui ne sont pas liés à la technologie elle-même.
Dans notre pratique, jusqu’à la crise du Covid, on avait plutôt des demandes de mise en conformité. Depuis, de nouvelles questions se sont posées, notamment vis-à-vis du télétravail et de la surveillance des salariés. Mais on est plus ici sur la mise à jour de choses préexistantes. Cependant, les processus RH vont être de plus en plus digitalisés et l’intelligence artificielle va nécessairement se répercuter sur tout cela, ce qui va soulever de nouvelles questions, tant au niveau des RH que du marché du travail au global.»