La team Digiposte | 31/07/2020

Protéger les données du collaborateur

IMG

De l’étape de recrutement jusqu’au départ du collaborateur, votre entreprise collecte et traite des données personnelles. Informations identitaires, documents obligatoires (justificatifs, RIB…), données sensibles… Tout ce flux entrant doit être protégé.  

Si la loi impose depuis le 25 mai 2018 le respect du RGPD (Règlement Général de Protection des Données), la protection des informations liées aux salariés ne s’arrête pas là.  

Dans cet article, Digiposte vous livre ce que vous devez savoir pour protéger les données des collaborateurs, de la définition des données sensibles en passant par la prise de connaissance du nouveau référentiel de la CNIL. Prêt(e) à passer de l’obligation à l’action ? 

 

1. Quelles sont les données personnelles et sensibles des salariés ?  

 

Votre entreprise n’y échappera pas : pour chaque collaborateur, des informations personnelles devront être collectées et traitées par le service RH.  

Pour rappel, les ressources humaines ne sont d’ailleurs en droit que de collecter uniquement les informations nécessaires au poste à pourvoir.  

Ces informations doivent être utiles pour créer les fiches de paie, assurer les déclarations sociales obligatoires, tenir le registre unique du personnel, maintenir la gestion administrative des salariés…  

Parmi ces informations collectées, certaines données seront définies comme « sensibles ». Il est important de distinguer les données sensibles obligatoires des données sensibles interdites.  

  • Les données sensibles interdites en entreprise sont les opinions politiques, les convictions religieuses, l’origine ethnique ou encore les activités syndicales. 

  • Les données sensibles obligatoires sont par exemple les coordonnées bancaires pour établir les bulletins de salaire, numéro de sécurité sociale, etc.  
     

Ces données sensibles sont protégées par une réglementation très stricte. Par exemple, l’usage du NIR (Numéro d’Inscription au Répertoire National d’Identification des personnes physiques), plus communément appelé « numéro de sécurité sociale » est strictement et limitativement encadré par le décret n°2019-341 du 19 avril 2019. Les catégories de responsables de traitement autorisés à utiliser le NIR et les finalités de traitements y sont précisées. Dans le cadre du déploiement du bulletin de paie numérique, l’utilisation totale ou partielle du NIR à des fins d’identification du salarié (code de sécurité pour valider les adhésions) constitue un détournement de la finalité (article 5 du RGPD) puni par 300 000€ d’amende et 5 ans d’emprisonnement.  
 

Assurez-vous de communiquer aux collaborateurs votre intransigeance quant au respect des principes de confidentialité et de sécurité de leurs données personnelles. Ne lésinez pas sur la transparence, en informant de l’usage et l’utilité des données personnelles. Précisez également les personnes pouvant les consulter, la durée de conservation, leurs droits sur l’accès, la rectification et la suppression des données…  

 
Une fois ces données collectées, vous allez aussi, dans le cadre de vos obligations, produire des documents contenant ces données sensibles (bulletin de paie, contrat, lettre de versement de prime, lettre de promotion…). 

Pour faciliter une transmission sécurisée de ces documents sensibles à vos salariés, vous pouvez choisir d’échanger avec eux par le biais d’un coffre-fort numérique sécurisé. Ce service sécurisé permet d’archiver les documents contenant des données électroniques sensibles, comme les bulletins de paie, dans des coffres-forts numériques personnels et sécurisés.  

En effet, des normes et lois encadrent strictement l’utilisation des CFN (coffres-forts numériques), notamment la certification ISO 27 001 (pour la sécurité de l’information), la norme de spécification d’un composant de coffre-fort numérique AFNOR NF Z 42-020 (pour les coffres-fort numériques) , le label Coffre-fort électronique de la FNTC, et la conformité aux lois et décrets « Service de Coffre-fort numérique » (Décret n° 2018-418 du 30 mai 2018, Décret n° 2018-853 du 5 octobre 2018). 

Sur les offres de dématérialisation de documents RH, Digiposte et ses partenaires respectent les normes d’archivage avec la certification NF 461, qui garantit la conformité aux exigences de la norme Afnor NF Z42-013 (pour l’archivage électronique). Ils bénéficient par ailleurs du label « Tiers-archiveur » de la Fédération des Tiers de Confiance du numérique (FNTC) et de l’agrément Service Interministériel des Archives de France (SIAF). 

Pour consulter ses documents, le salarié accède à son coffre-fort numérique grâce à des identifiants personnels qu’il aura pris soin de personnaliser pour en prendre pleine possession, indépendamment de sa relation contractuelle avec son employeur. S’il le souhaite, il peut même activer la double authentification (« Time-based One-Time Password »), l’application mobile génère, à chaque connexion, un code temporaire à usage unique, en complément de l’identifiant et du mot de passe habituel. 

 

2. Données personnelles et gestion RH : ce que dit le nouveau référentiel de la CNIL 

 

La gestion des ressources humaines méritait quelques indications en matière de traitement des données personnelles et de mise en conformité. Ces indications sont désormais officielles !  

La CNIL propose un référentiel intitulé : Référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel.  

Adopté le 21 novembre 2019 et publié le 15 avril 2020, son objectif est simple : assurer la conformité des traitements de gestion courante des RH, concernant la protection des données.  

Le champ d’application du référentiel couvre également la gestion de la paye et les traitements les plus répandus en matière de recrutement.   

Ce référentiel guide les entreprises et leur service RH sur plusieurs points, comme :  

  • Les objectifs du traitement des données : du recrutement, en passant par la formation ou la gestion du personnel. 

  • Les bases légales du traitement définies par la réglementation : consentement libre de la personne concernée, respect d’une obligation légale incombant à l’organisme, etc. 

  • Les données personnelles pertinentes à demander et la protection particulière à aborder en cas de données sensibles collectées. 

  • Les durées de conservation des données et documents en entreprise : par exemple, un bulletin de salaire peut être conservé durant 5 ans en archivage intermédiaire, d’après l’article L. 3243-4 du Code du travail.  

  • Les différents droits des propriétaires de données. 

  • Un tableau des différentes mesures de sécurité à mettre en place pour protéger les données. 

  • Une aide à la réalisation d’une Analyse d’Impact à la Protection des Données (AIPD), lorsque celle-ci est nécessaire. 

 

3. AIPD et RGPD : que faut-il retenir ?  

 

La sécurité des données est au cœur des préoccupations des entreprises… Mais aussi au cœur des préoccupations du RGPD !  

Un élément central du RGPD est l’Analyse d’Impact Relative à la Protection des Données (AIPD). 

L’AIPD est un outil permettant de construire des traitements de données qui respectent la vie des salariés, tout en étant conformes au RGPD. Pour s’y retrouver, la CNIL propose une liste de traitements des données pour lesquels une AIPD est nécessaire et obligatoire.  

Au sein de la liste adoptée fin 2019, on retrouve les types d’opérations nécessitant une AIPD : données génétiques de personnes dites « vulnérables », actions de profilage faisant appel à des données provenant de sources externes, données de localisation à large échelle, etc.   

Avant de traiter des données personnelles, cette liste est un véritable repère pour votre entreprise.  

Dans ce contexte, le respect des principes du RGPD sont au cœur des préoccupations de Digiposte qui propose des coffres-forts « RGPD by design » : toute fonctionnalité ou tout développement chez Digiposte se fait, depuis la conception même, en respect des principes du RGPD. Autres points importants, les documents stockés dans Digiposte sont chiffrés et ni l’employeur, ni Digiposte (administrateurs de la solution compris) n’ont accès au contenu des coffres. Les coffres-forts numériques sont strictement personnels. 

 

En 2020 plus que jamais, les entreprises sont guidées pour encadrer la collecte, le traitement et la gestion des données personnelles. Chaque entreprise peut compter sur les lignes directrices à retrouver…  

  • Au sein du RGPD, 

  • Dans le nouveau référentiel de la CNIL, 

  • Dans la liste des traitements de données qui nécessitent une AIPD. 

Une fois le cadre légal appliqué, vous souhaitez aller plus loin et déposer les documents sensibles des collaborateurs dans des espaces personnels et sécurisés ? Découvrez le coffre-fort numérique Digiposte.