CNIL, RGPD et l’archivage des données RH
Depuis le 25 mai 2018 les dispositions relatives à la protection des données personnelles sont applicables dans l’ensemble des 28 États membres de l’Union européenne. Le RGPD et l’archivage des données RH doivent donc être pensé dès la mise en place d’un SIRH.
Votre SIRH doit donc impérativement satisfaire aux obligations liées à la protection des données personnelles.
Les étapes selon la CNIL
1 : Nommer un délégué à la protection des données (chargé de l’information, du conseil auprès des autres membres de l’entreprise et du contrôle interne)
2 : Définir la liste des traitements des données (l’entreprise ou son sous-traitant doivent tenir un registre des traitements sur les données personnelles).
3 : Définir les actions correctives (prioriser les actions à engager en fonction du niveau de risque)
4 : Analyser les risques (analyser les risques sur la sécurité des données).
5 : Définir les procédures internes (soit définir les procédures internes pour garantir la sécurité des données personnelles et les procédures à mettre en œuvre en cas de dysfonctionnement)
6 : Tenir une documentation (consigner les actions, documents et procédures).
Le RGPD et la sécurité des données RH
Les réglementations relatives au RGPD impliquent de fait de protéger au maximum les données à caractère personnel. Donc il conviendra de mettre en œuvre les procédures appropriées. Ces protections devront être mise en œuvre à tous les niveaux (niveau utilisateur, niveau administrateur du serveur, du site d’hébergement…)
Les types d’accèsLes accès aux données personnelles sont de différents types. La salarié a le droit d’accéder à son dossier professionnel en s’adressant au service concerné. Et l’employeur a l’obligation d’informer ses salariés du droit d’accès et de rectification à leurs propres données, d’informer sur les données recueillies, ainsi que l’identité des personnes habilités à consulter leurs données. |
L’avis de l’expert : Attention ! On commet souvent l’erreur de croire que seuls les fichiers informatisés sont concernés alors que même les fichiers papier sont soumis à la règlementation. |
L’archivage des données
Dans tous les cas de figure les données ne doivent être conservées que le temps nécessaire pour accomplir l’objectif poursuivi. Le responsable du fichier (et/ou le délégué à la protection des données) doit veiller à ne conserver que les données nécessaires à cet objectif.
- La base active : C’est la base utilisée pour la production avant ou pendant le temps ou la personne est salariée
- L’archivage intermédiaire : Les données peuvent être stockées dans une base d’archive distincte de la base active, avec des accès restreints aux personnes habilités.
- L’archivage définitif : il est conseillé de les conserver sur un support physique différent ou in dépendant, non accessible accès habituels de la production.
La consultation des données archivées doit être tracée quel que soit le type d’archive.
Les durées légales maximales d’archivage des données RH
Ces délais varient selon la nature des données et l’objectif
| Gestion du recrutement | 2 ans après le dernier contact avec le candidat sous réserve que celui-ci en ai été informé et ai donné son consentement |
| Gestion du personnel | 5 ans (en archivage intermédiaire) à compter du jour de départ du salarié de l’entreprise (bulletins de paye, registre du personnel…) |
| Gestion des temps | 5 ans après le départ du salarié. Attention pour les heures et congés pris pour l’exercice d’un mandat syndical ou de représentation du personnel les données seront conservées 6 mois maximum après la fin du mandat |
| Bulletins de salaire | 5 ans pour un bulletin papier
Pour un bulletin dématérialisé l’employeur doit sous-traiter cette dématérialisation pendant 50 ans ou jusqu’à la 75eme année du salarié à un prestataire dument habilité sur moncompteactivite.gouv.fr .Le salarié accédera à ses bulletins de salaire sur le site du prestataire retenu pour l’archivage. |
| Sanctions disciplinaires | 3 ans |
Les sanctions
Les sanctions applicables en cas de non-respect de ces dispositions sont graduelles. Cela signifie qu’elles dépendent de la gravité des infractions constatées.
Les 4 niveaux sont :
Premièrement: Avertissement ou mise en demeure de l’entreprise accompagné d’un rappel des règles concernant la mise en conformité,
Deuxièmement : Injonction, ordre de cessation immédiate des violations constatées,
Troisièmement : Limitation ou suspension temporaire des traitements ou des flux de données,
Quatrièmement : Sanctions administratives pour les entreprises qui n’ont pas respecté l’injonction
Les premières amendes peuvent atteindre 10 000 000 € ou jusqu’à 4 % du chiffre d’affaires annuel mondial.
En cas d’infraction importante l’amende peut atteindre jusqu’à 20 000 000 €
En France, selon l‘Article 226-16 du Code pénal, les sanctions pénales applicables peuvent atteindre jusqu’à 300 000 € d’amende et entraîner jusqu’à 5 ans d’emprisonnement.
Le logiciel de ServicesRHonline permet de régler les temps et délais d’archivage pour rester en conformité avec le RGPD. Lors de la première connexion un message informe le salarié de l’objectif de la collecte de ses données ainsi que de son droit d’accès et de rectification de celles-ci.
