RGPD, droit à l’oubli et durées de conservation : comment mettre en conformité les SIRH ?
Le droit à l’oubli, ou droit à l’effacement, est défini dans l’article 17 du Règlement Européen sur la Protection des Données comme étant « le droit d’obtenir du responsable du traitement l’effacement de données à caractère personnel ».
Ces règles ont avant tout été éditées pour garantir le respect de la vie privée par les Géants du web (GAFA), Google, Apple, Facebook, Amazon ou encore Microsoft. En témoigne le tout récent scandale Facebook, accusé d’avoir revendu à l’entreprise Cambridge Analytica les données personnelles de 87 millions d’utilisateurs sans leur consentement.
Les employeurs sont également concernés puisqu’ils stockent dans leurs Systèmes d’information Ressources Humaines (SIRH) des millions de données personnelles, allant de l’adresse postale, au nombre d’enfants, en passant par le RIB et les données de compétences ou de paie.
Le chemin des données personnelles dans un SIRH
Aujourd’hui, ces données personnelles sont stockées de trois manières différentes dans les SIRH, en fonction de leur utilisation et de leur intérêt. On retrouve dans une base active les données d’utilisation courantes, telles que les adresses personnelles des salariés.
Dans les archives intermédiaires se trouvent les données présentant un intérêt administratif, mais qui n’entrent plus dans l’exploitation courante. Elles doivent être conservées comme preuves auprès de l’administration, ou en cas de contentieux jusqu’à prescription. On y retrouve par exemple les formations suivies par un salarié, les historiques de postes, ou d’affectation.
Enfin, les archives définitives rassemblent les données présentant un intérêt historique, scientifique ou statistique. Ces données n’ont pas à être déclarées si elles sont anonymes.
Les données personnelles des collaborateurs ne stagnent donc pas dans un SIRH. Elles changent de statut en fonction de l’utilisation et des besoins de l’entreprise comme le montre ce schéma d’évolution d’un bulletin de paie dématérialisé :
Demain avec le RGPD, les collaborateurs auront donc le droit de demander l’effacement de leurs données personnelles. Il faut cependant préciser que le droit à l’oubli doit être appliqué dans la limite des obligations légales de conservation définies par la loi et la réglementation. L’employeur ne doit pas systématiquement répondre positivement à une demande d’effacement, dans un délai de 1 mois. Il faut au préalable identifier celles qu’il peut effacer de celles à conserver légalement, ou à des fins de protection en cas de contentieux.
Quelles sont les obligations pour l’employeur, quelles données doivent être conservées et pour combien de temps ?
De manière synthétique, les délais de conservation maximum exigés par la Commission Informatique et Libertés (CNIL) pour les données personnelles couramment présentes dans un SIRH sont les suivantes :
Nature de la donnée | Durée de conservation |
---|---|
Gestion du personnel | 5 ans (en archivage intermédiaire) à compter du départ du salarié |
Gestion de la paie | 5 ans à compter du versement de la paie, signifiant que l’employeur ne garde que 5 ans d’historique des bulletins de salaire.En revanche, il est a noté que les informations nécessaires à l’établissement des droits du personnel, notamment des droits à la retraite, peuvent être conservées sans limitation de durée. |
Fichiers de recrutement | Destruction immédiate si le candidat n’est pas retenu ni pour le poste à pourvoir ni dans le cadre d’un futur recrutement.. Possibilité de conserver le CV pendant 2 ans après le dernier contact avec le candidat si ce dernier a été dûment informé. |
Gestion de l’annuaire du personnel | Les données ne sont pas conservées au-delà de la période d’emploi de la personne concernée |
Gestion du temps de travail | Les éléments d’identification ne doivent pas être conservés au-delà de 5 ans après le départ du salarié ou de l’agent de l’entreprise ou de l’administration. Les informations relatives aux horaires des employés peuvent être conservées pendant 5 ans. La conservation des données relatives aux motifs d’absence est limitée à une durée de 5 ans. |
Sanctions disciplinaires | 3 ans glissant (sauf amnistie) |
Mandats des représentants du personnel | 6 mois après fin du mandat |
Source : Référentiel durée de conservation, Correspondant informatique et Libertés, juillet 2012
La détermination de la bonne durée de conservation pour un SIRH n’est pas automatique. La loi informatique et liberté, le RGPD, les recommandations de la CNIL doivent être appliqués en tenant compte des exigences et des particularités du droit du travail et du code pénal.
Par exemple :
- Dans le cas des bulletins de paie dématérialisés, l’employeur doit en garantir la disponibilité pendant 50 ans.
- En matière pénale, la prescription pour les cas de harcèlement moral, sexuel, téléphonique est de 6 ans, pouvant inciter les employeurs à conserver les données pendant cette durée pour se défendre en cas de contentieux. Les dossiers du personnel pouvant être conservés au maximum 5 ans à compter du départ du salarié.
Ces deux exemples montrent la nécessité d’entamer une réflexion systématique sur les durées de conservations adéquates pour chaque entreprise, et pour chaque donnée.
Comment adapter son SIRH à la durée de conservation légale des données ?
Pour gérer et purger au mieux ses données personnelles, il faut d’abord les connaître. La première étape à mettre en œuvre est d’établir une cartographie précise des données personnelles de son SIRH. Celle-ci doit permettre l’identification de l’ensemble des données des utilisateurs, les informations personnelles sensibles, et l’ensemble des tables dans lesquelles elles sont stockées. Cela comprend également les pièces justificatives jointes au dossier du personnel, comme par exemple les pièces d’identité, carte vitale, extrait de casier judiciaire, justificatifs d’arrêt de travail etc.
Après avoir identifié les données personnelles et leur temps de conservation, il est nécessaire de déterminer leur mode d’archivage, qui peut être géré de plusieurs manières. Il est possible soit de restreindre l’accès des données d’historique à un nombre limité de personnes tout en les laissant sur la base active, soit en les archivant sur une base distincte de la base active.
Enfin, il est évident qu’il faut mettre en œuvre une purge intelligente des données obsolètes, par traitement automatique ou manuel.
La difficulté de mise en œuvre du RGPD réside donc la multitude des données RH qui gravitent dans un SIRH, auxquelles sont associées presque autant de règles de conservations légales. Pour garantir le droit à l’oubli, un travail de fond doit être fait via l’élaboration d’une cartographie précise des données RH, et la définition d’une politique de purge précise et régulière.