Les données RH sont stratégiques, plus encore lorsqu’il s’agit de données à caractère personnel des collaborateurs. Elles doivent donc être protégées.
32% des décideurs RH ont d’ailleurs conscience que la protection de ces données RH les obligent à adapter leur SIRH. Cette prise de conscience est particulièrement forte dans les PME (citée par 50% des répondants), moins bien dotées en compétences et en ressources pour gérer les risques associés à l’absence de protection. Certains secteurs semblent également plus sensibles tels que la banque, l’assurance et les opérateurs de services.
Parallèlement, 77% des décideurs RH estiment que la confidentialité des données RH (paie, rémunérations, risques psycho-sociaux, données personnelles…) impacte fortement leurs missions. La DRH collecte, traite et stocke des volumes importants de données à caractère personnel dans le cadre de ses processus de recrutement (CV, contrats de travail…), d’administration du personnel (numéros de sécurité sociale, adresses…), de gestion de la paie (bulletins, type de rémunération), de gestion des carrières (évaluations annuelles) ou de gestion des temps (badges).
Avec l’entrée en application le 25 mai 2018 du RGPD (Règlement Général sur la Protection des Données), les pratiques des RH seront impactées. Le RGPD, qui vise à harmoniser et à renforcer au niveau de l’Union Européenne (UE) la réglementation sur la protection des données à caractère personnel, impose en effet de revoir la gestion, le stockage et le transfert des données concernant les salariés au sein de l’UE. Les DRH sont donc pleinement concernées par ce règlement. Pourtant, seuls 6% des décideurs RH interviewés par MARKESS au 3ème trimestre 2017 indiquent que leur organisation est en conformité avec le RGPD ! Il y a donc urgence à intégrer de manière plus accrue la dimension « données », notamment à caractère personnel, au cœur des stratégies RH.
Pour être conforme au RGDP, la DRH devra non seulement identifier et localiser les données personnelles des salariés et candidats, les informer, sécuriser ces données, gérer les habilitations, s’assurer que les règles de rétention propres à chaque type de données sont conformes aux exigences légales et réglementaires, mais aussi sensibiliser en interne les personnes amenées à manipuler ces données. La non-conformité entrainera des pénalités financières conséquentes pour les organisations. La DRH doit donc réviser ses processus liés à la gestion des données personnelles, s’équiper, former, voire s’adosser à de nouvelles fonctions telles que le Chief Data Officer (CDO) ou le Chief Legal Officer (CLO).
L’impact du RGPD est également au niveau des prestataires impliqués dans le traitement des données RH pour le compte de leurs clients. Ces prestataires doivent garantir la sécurité de leurs solutions, s’entourer de compétences adéquates, et démontrer la certification de leurs solutions
