Dans le cadre du fonctionnement et de la gestion d’une entreprise, les dirigeants ont besoin de collecter les données de leurs collaborateurs, que ce soit d’un point de vue managérial ou encore d’un point de vue administratif. Cependant, cette opération est soumise au Règlement Général sur la Protection des Données (RGPD) à laquelle tout entreprise devra se conformer, compte tenu de la directive Européenne datant de 2016. Dès lors, la question se pose de savoir quelles sont les bonnes pratiques à adopter pour que la collecte des données se fasse dans le respect de la loi. Cet article vous présente les principaux aspects à respecter pour être en conformité au RGPD, dans le cadre de la gestion des ressources humaines en entreprise, notamment pour le suivi du temps de travail de vos collaborateurs.
Se référer à la CNIL
En matière de numérique, c’est à la Commission Nationale de l’Informatique et des Libertés (CNIL) que vous devrez vous référer. En effet, il s’agit de l’organe régulateur des informations personnelles qui accompagne les dirigeants dans leur mise en conformité.
La CNIL vous aide à contrôler toutes les données personnelles que vous collecterez dans le cadre du contrôle du temps de travail dans votre entreprise. Que vous soyez particulier ou professionnel, elle met à votre disposition de nombreux outils indispensables pour connaitre les conditions d’application et les obligations associées au respect du RGPD.
Les missions de la CNIL sont nombreuses : elle informe, protège, accompagne, conseille, contrôle, sanctionne, mais aussi anticipe les actualités juridiques pouvant impacter les libertés individuelles dans le cadre, notamment, du traitement des données à caractère personnel.
Exiger uniquement les informations nécessaires
Si vous souhaitez collecter des données dans le cadre du pointage de vos salariés, tout en étant conforme au RGPD, alors n’exigez que les informations nécessaires au suivi du temps de travail, pour ne pas prendre de risque et éviter toute collecte illégale. Vous devez donc éviter de demander à vos salariés de fournir celles qui sont dites à caractère sensible. Il est ainsi inenvisageable de demander des informations relatives aux opinions politiques, à l’origine ethnique, à l’activité syndicale, à la religion et à la santé. Dans le cadre du suivi du temps de travail des salariés, seuls les identifiants des salariés et les horaires de travail vous seront nécessaires.
En tant que dirigeant, la technique appelée le « Privacy by design » vous aide à restreindre la collecte exclusivement aux informations utiles servant vos finalités en tant que gestionnaire de ressources humaines. Toute donnée dont la connaissance n’apportera ni ne modifiera en rien le fonctionnement de la société n’est pas à exiger.
Désigner un Data Protection Officer (DPO)
L’entrée en vigueur du RGPD impose aux entreprises, au regard de certaines conditions, de désigner un DPO afin d’assurer la protection des données de vos salariés. Ce délégué sera chargé en interne de garantir la sécurité, voire la confidentialité des informations à caractère personnel, pour l’ensemble des salariés de l’entreprise. Il peut s’agir par exemple des coordonnées bancaires pour les paiements ou encore du numéro de sécurité sociale pour les déclarations administratives.
Le Data Protection Officer sera la seule personne habilitée à prendre connaissance des informations personnelles des salariés, vous devez limiter le nombre d’employés ayant accès à celles-ci. Par ailleurs, assurez-vous que toute action effectuée et affiliée à ces informations puisse être notifiée et archivée. Pour cela, il est important de disposer d’un système permettant d’identifier l’ensemble des actions réalisées, quand et surtout pour quel but. Vous l’aurez compris, il est important de tracer l’ensemble des actions réalisées par le DPO et assimilés.
Informer les employés sur la finalité
Pour être conforme au RGPD et faire preuve de votre bonne foi auprès de vos salariés, il est important qu’ils soient informés sur la finalité des informations que vous leur demandez. Les salariés doivent savoir avec précision à quoi vont servir les données qu’ils vont fournir. Dans le cadre du pointage, assurez-vous que tout le monde ait l’information via les canaux dédiés à cela.
Le recueil avec consentement vous permet de faire preuve de transparence dans la collecte des données. De plus, vous devez les informer sur la durée de conservation de ces informations de même que les personnes qui y auront connaissance. En outre, ils doivent savoir quel système vous permettra de sécuriser les données qu’ils vous fournissent.