Le RGPD (Règlement général sur la protection des données) entrera en vigueur le 25 mai 2018. Cette annonce a déjà été faite il y a 2 ans. Mais à seulement 3 mois de la prise d’effet de la nouvelle législation en matière de vie privée, à peine 2 % des départements RH se disent prêts à pouvoir appliquer correctement à leur personnel les règles de confidentialité qui y sont prévues.
Seulement la moitié d’entre eux s’attellent à ce jour à la mise en œuvre des mesures nécessaires pour être en conformité avec les règles renforcées. Les départements RH sont de tièdes partisans du RPGD. L’évaluation va de « cela revient à écraser une mouche avec un marteau » (10 %) et « ce n’est pas réaliste pour les petites entreprises » (11 %) à « je comprends qu’au sein des RH aussi il faille respecter la vie privée, mais le RGPD n’est pas le meilleur moyen pour ce faire » (47 %). Michaël Zahlen, Senior Consultant d’Acerta Consult : « L’administration et la gestion du personnel ont été exclues de la législation relative à la protection de la vie privée de 1992 en ce qui concerne l’obligation de déclaration. Avec le RGPD, la relation employeur-travailleur est mise entièrement dans le même panier que les grands acteurs d’Internet qui – peut-être sans que nous nous en rendions compte ou donnions notre approbation à cet effet – suivent tous nos faits et gestes sur le net et nous bombardent de leurs publicités ciblées. Il est regrettable que la nouvelle loi n’établisse pas de distinction entre les RH et le marketing. »
Cette attitude des RH vis-à-vis du RGPD se reflète dans les réponses des responsables RH. Seulement 2 % des personnes interrogées sont prêtes pour la nouvelle législation entrant prochainement en vigueur. 48 % confirment être pleinement occupés à entreprendre les actions nécessaires pour rendre les processus et procédures conformes avec le règlement RGPD. Si tout se passe bien, la moitié respectera donc le délai. Par ailleurs, 18 % savent bel et bien quoi faire, mais pas encore par où commencer. Tandis que 25 % ne savent pas ce que l’on attend d’eux et 7 % se trouvent encore dans l’ignorance totale. À 3 mois de la date butoir, bon nombre de départements RH ont donc encore du pain sur la planche s’ils veulent être conformes avec le RGPD dans les temps.
Ignorance quant aux implications de la nouvelle loi sur la vie privée
Les départements RH n’ont pas encore une vision totalement claire des implications du RGPD à leur égard : voilà ce qu’il ressort des réponses de CEO et de HR managers quand on leur demande combien de temps après la fin du contrat de travail ils conserveront des données de leurs ex-travailleurs. Lorsqu’il est question aussi bien de l’ancien contrat de travail que de données d’évaluation, de données salariales ou de photos de leur ex-travailleur, plus de 50 % disent ne pas savoir combien de temps ils les conserveront après l’entrée en vigueur des règles renforcées en matière de vie privée. En outre, plus de 10 % déclarent systématiquement qu’ils conserveront ces données de façon illimitée dans le temps.
Aux questions relatives au contenu de la nouvelle loi sur la vie privée, la moitié des personnes interrogées s’avèrent par exemple ignorer également ce que signifient le ‘droit à l’oubli’ (55 %) et le ‘droit de rectification’ (50 %) qu’ont les travailleurs. Nous pouvons en conclure que la moitié des entreprises restent dans l’ignorance en ce qui concerne les actions attendues de leur part à la suite du RGPD.
« La durée pendant laquelle le département RH peut conserver des données n’a pas été explicitement réglementée. Comme pour d’autres données, ces données peuvent être conservées pendant la durée où elles restent pertinentes pour la finalité pour laquelle elles ont été recueillies. Ce que ceci signifie concrètement est bien entendu sujet à débat et fait par conséquent aussi naître de l’incertitude dans les départements RH. Il nous paraît une bonne idée d’appliquer à ces données une norme pratique de, par exemple, 10 ans. Les départements RH savent alors qu’ils doivent en principe détruire au bout de 10 ans toutes les données ayant trait à leurs anciens travailleurs, à moins d’avoir conclu d’autres accords avec ces ex-collègues. »
Continuer comme avant ?
Les départements RH ont conscience qu’ils recueillent, traitent et conservent des données à caractère personnel au sujet de leurs collaborateurs. De même, ils sont conscients que les règles en matière de vie privée sont également valables pour leur relation avec leurs travailleurs. Cependant, pas moins de 56 % des personnes interrogées déclarent explicitement que les règles strictes et contraignantes du RGPD ne constituent pas la meilleure solution pour respecter cette vie privée. Plus de 10 % déclarent en outre que ces normes ne sont pas réalistes pour de plus petites entreprises. Seulement un quart des personnes interrogées – tous segments confondus – disent soutenir pleinement les nouvelles règles en matière de vie privée. « Le RGPD entre prochainement en vigueur. Et les départements RH ne peuvent pas compter sur une simplification de cette réglementation au cours de la période à venir ou sur un assouplissement des règles pour le traitement de données relatives aux travailleurs. Mieux vaut donc que les employeurs prennent des mesures dans les mois et années à venir pour aborder de manière critique les données qu’ils conservent à propos de leurs travailleurs : de quelles informations ont-ils besoin et lesquelles sont éventuellement superflues ? Ont-ils une bonne raison de les recueillir et de les conserver ? Comment veillent-ils au maintien à jour des informations? Combien de temps conservent-ils les données une fois que le contrat de travail a pris fin?… Dans ce contexte, tout commence par un inventaire et une évaluation critique des informations conservées. »
Echantillon : questionnaire mené par le prestataire de services RH ACERTA auprès de plus de 155 responsables RH.