Questionner la conformité RGPD de son SIRH

Votre SIRH respecte-t-il les obligations du règlement général sur la protection des données ?

RGPD et SIRH : quelles sont vos obligations ?

Dans le prolongement du principe d’accountability prévu par l’article 24 du RGPD, toute organisation doit prouver, en sa qualité de responsable du traitement, sa capacité à créer de la confiance, cartographier ses risques et documenter sa conformité (registre, AIPD, politiques internes, etc.). 

Ces obligations sont particulièrement importantes en matière RH, dont l’activité occasionne le traitement régulier d’un grand nombre de données à caractère personnel, parmi lesquelles des données sensibles. Or la plupart des traitements RH sont effectués par le biais de Systèmes d’Information des Ressources Humaines (SIRH), désormais omniprésents en entreprise. 

Le chemin vers la sécurité et la confiance passe donc par l’évaluation de la conformité de ces logiciels aux principes réglementaires, lors du choix du SIRH à déployer ou de sa mise à jour et, à cet effet, plusieurs questions peuvent être posées : 

1. Quelles sont les finalités du traitement ? 

_{Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités (article 5(1)(b)) (principe de limitation des finalités). Ainsi, les données personnelles doivent être collectées pour des finalités précises comme la gestion des salaires, la formation, la gestion des congés, etc.} 

• Quels sont les objectifs de l’outil SIRH ?

• Les finalités du traitement sont-elles clairement définies et légitimes ? 

• Existe-t-il un mécanisme pour empêcher l'utilisation des données à des fins autres que celles initialement prévues et comment le SIRH permet de le garantir ? 

Pour aller plus loin :  

• ALTIJ : https://www.altij.fr/detail-actualites/rgpd-comment-sassurer-quune-nouvelle-finalite-du-traitement-est-compatible-avec-la-finalite-initiale  

• CNIL : https://www.cnil.fr/fr/definition/finalite  

• CNIL ; https://www.cnil.fr/fr/passer-laction/definir-une-finalite  

2. Comment procéder à l’identification et à la minimisation des données personnelles ? 

_{Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (article 5(1)(c)). Ce principe de minimisation des données s’apprécie au regard des finalités spécifiques, légitimes et licites préalablement définies.}

• Quelles données personnelles sont collectées dans le SIRH (nom, adresse, coordonnées, informations bancaires, historique de carrière, etc.) ? 

• Certaines données doivent-elles obligatoirement être renseignées ?

• Ces données sont-elles strictement nécessaires ? 

• Comment le système permet-il de limiter la collecte aux seules données nécessaires ? 

• Le logiciel contient-il des zones de libres commentaires ?

• Existe-t-il un processus de validation avant l'ajout de nouveaux champs de données dans le système ? 

• Existe-t-il un processus de révision périodique pour s'assurer que les données collectées restent nécessaires ? 

Pour aller plus loin :  

• ALTIJ : https://www.altij.fr/detail-actualites/detail-actualite-penal/cse-attention-le-rgpd-vous-concerne-aussi  

• CNIL : https://www.cnil.fr/fr/definition/minimisation-des-donnees  

• CNIL : https://www.cnil.fr/fr/minimiser-les-donnees-collectees  

• CNIL : https://www.cnil.fr/fr/verifier-la-pertinence-des-donnees  

• CEPD : https://edps.europa.eu/data-protection/our-work/subjects/necessity-proportionality_fr  

3. Quelle politique de durées de conservation des données ? 

_{Les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (article 5(1)(e)). (principe de limitation de la
conservation).}

• Combien le logiciel conserve-t-il, par défaut, les données ? 

• Existe-t-il des mécanismes pour définir et appliquer des durées de conservation spécifiques pour chaque type de données ? 

• Comment le système gère-t-il les données archivées par rapport aux données actives ? 

• Le SIRH intègre-t-il un système d'alerte automatique pour signaler les données qui ont atteint leur durée de conservation maximale ? 

• Existe-t-il une procédure automatisée pour l'anonymisation ou la suppression des données à l'expiration de leur durée de conservation ? 

Pour aller plus loin :  

• ALTIJ : https://www.altij.fr/detail-actualites/detail-actualites-technologies-avancees/comptes-inactifs-sanction-pour-ne-pas-avoir-supprime-les-donnees-des-utilisateurs  

• ALTIJ : https://www.altij.fr/detail-actualites/detail-actualites-technologies-avancees/comptes-inactifs-sanction-pour-ne-pas-avoir-supprime-les-donnees-des-utilisateurs  

• CNIL : https://www.cnil.fr/fr/les-durees-de-conservation-des-donnees  

• CNIL : https://www.cnil.fr/sites/cnil/files/atoms/files/guide_durees_de_conservation.pdf  

• EDPB : https://www.edps.europa.eu/data-protection/our-work/publications/supervisory-opinions/ercea-note-retention-time-scientific_fr  

4. Quelle base légale du traitement ? 

_{Le traitement de données doit être licite (article 5(1)(a)). Ce principe implique que le traitement repose sur une base juridique telle que l’intérêt légitime, l'exécution d'un contrat, le respect d'une obligation légale, une mission d’intérêt public, la sauvegarde d’intérêts vitaux ou le consentement de la personne concernée (article 6), bien que cette dernière soit rarement utilisée que pour des traitements très spécifiques, en matière RH, compte tenu du déséquilibre inhérent au lien de subordination.}

• Quelle est la base légale de chaque traitement de données personnelles ? 

• Le SIRH contient-il une fonctionnalité permettant de renseigner et/ou tracer la ou les base(s) légale (s) retenue(s) selon chaque module/traitement ?

Pour aller plus loin :  

• CNIL : https://www.cnil.fr/fr/les-bases-legales  

• EDPB : https://www.edpb.europa.eu/our-work-tools/our-documents/topic/legal-basis_fr  

• EDPB : https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202401_legitimateinterest_en.pdf  

5. Assurer la transparence et la loyauté : l’information 

_{Le traitement de données doit être loyal et transparent au regard de la personne concernée (article 5(1)(a)). En conséquence, le responsable du traitement devra fournir des informations à la personne concernée lorsque les données sont collectées et avant tout traitement ultérieur pour une finalité autre que celle pour laquelle les données ont été collectées (articles 13 et 14). Il devra le faire d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples (article 12).} 

• Les salariés et candidats sont-ils informés au sujet de l’ensemble des traitements de leurs données et des droits en résultant ?

• Les salariés sont-ils informés des traitements de leurs données ? 

• Le SIRH contient-il des fonctionnalités facilitant cette information ? 

• Existe-t-il un système de traçabilité des informations communiquées aux membres du personnel et candidats ?

• Le SIRH propose-t-il un espace dédié où les employés peuvent consulter facilement toutes les informations relatives au traitement de leurs données ? 

Pour aller plus loin :  

• CNIL : https://www.cnil.fr/fr/informer-les-personnes  

• CNIL : https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence  

• CNIL : https://www.cnil.fr/fr/rgpd-exemples-de-mentions-dinformation  

• LINC : https://design.cnil.fr/concepts/information/  

• EDPB : https://www.edpb.europa.eu/system/files/2023-09/wp260rev01_en.pdf  

6. Faciliter l’exercice des droits des personnes concernées 

_{Le responsable du traitement doit faciliter l'exercice des droits conférés à la personne concernée par le règlement (articles 15 à 22). Il s’agit du droit d’accès, du droit de rectification, du droit à l’effacement, du droit à la limitation du traitement, du droit à la portabilité des données et du droit d’opposition. Les salariés sont bénéficiaires de ces droits à l’égard de leur employeur.} 

• Quels sont les processus en place pour répondre demandes au titre de l’exercice de droits par les personnes concernées ?

• Le SIRH permet-il de faciliter la gestion des éventuelles demandes d’exercice de droit par les membres du personnel et les candidats (consentement, rectification, effacement, etc.) ?

• Le SIRH intègre-t-il une fonctionnalité permettant de gérer ces demandes (recueil des demandes, rappel des délais au responsable de traitement, etc.) ? 

• Le SIRH permet-il la portabilité des données (les salariés devant pouvoir récupérer leurs données personnelles de manière structurée) ? 

Pour aller plus loin :  

• ALTIJ : https://www.altij.fr/detail-actualites/le-droit-dopposition-face-a-lutilisation-des-donnees-par-meta  

• CNIL : https://www.cnil.fr/fr/respecter-les-droits-des-personnes  

• CNIL : https://www.cnil.fr/fr/passer-laction/les-droits-des-personnes-sur-leurs-donnees  

• CNIL : https://www.cnil.fr/fr/les-droits-des-personnes-au-travail 

• CNIL : https://www.cnil.fr/fr/respecter-les-droits-des-personnes/repondre-aux-demandes-dexercice-des-droits 

• EDPB : https://www.edpb.europa.eu/system/files/2024-04/edpb_guidelines_202201_data_subject_rights_access_v2_fr.pdf 

7. Sécuriser les contrats de sous-traitance 

_{Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique qui respecte les exigences réglementaires (article 28).} 

• La relation avec le fournisseur du SIRH est-elle encadrée par un contrat de sous-traitance au sens du RGPD ? 

• D’autres prestataires externes traitent-ils des données contenues dans le SIRH ? 

• Le SIRH permet-il de tenir un registre à jour des sous-traitants ayant accès aux données ? 

• Existe-t-il un mécanisme pour vérifier régulièrement la conformité des sous-traitants aux exigences du RGPD ? 

• Le SIRH permet-il de définir des niveaux d'accès différents pour les sous-traitants selon leurs besoins ? 

• Existe-t-il un processus d'audit intégré pour vérifier les activités des sous-traitants dans le système ? 

• Quelles sont les garanties ? Les limites et plafonds de garanties ? Etc. 

Pour aller plus loin :  

• ALTIJ : https://www.altij.fr/detail-actualites/detail-personnes-familles/geolocalisation-la-cnil-sanctionne-la-societe-cityscoot-notamment-pour-collecte-quasi-permanente-de-donnees-de-geolocalisation  

• EDPB : https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_fr.pdf  

• CNIL : https://www.cnil.fr/fr/sous-traitant 

• CNIL : https://www.cnil.fr/sites/cnil/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf  

8. Tenir le registre des activités de traitement 

_{Chaque responsable du traitement doit tenir un registre des activités de traitement effectuées sous sa responsabilité (article 30).} 

• Un registre des traitements RH existe-t-il ? 

• Le cas échéant, intègre-t-il les traitements RH réalisés par le biais du SIRH ? 

• Le SIRH offre-t-il une fonctionnalité pour faciliter l’actualisation du registre des activités de traitement ? 

Pour aller plus loin :  

• ALTIJ : https://www.altij.fr/detail-actualites/detail-actualites-public/conformite-rgpd-la-cjue-precise-les-regles-sur-la-legalite-des-traitements-et-sur-lindemnisation  

• CNIL : https://www.cnil.fr/fr/RGPD-le-registre-des-activites-de-traitement  

• EDPB : https://www.edpb.europa.eu/sme-data-protection-guide/faq-frequently-asked-questions/answer/do-i-need-record-processing_fr  

9. Mettre en place les mesures de sécurité appropriées et proportionnées 

_{Il appartient au responsable du traitement et au sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (article 32).} 

• Quelles mesures de sécurité sont en place pour protéger les données (chiffrement, gestion des accès, authentification forte, traçabilité, etc.) ? 

• Le SIRH propose-t-il des fonctionnalités de chiffrement des données au repos et en transit ? 

• Comment le système permet de gérer les habilitations d'accès aux données ? 

• Existe-t-il un processus de revue régulière de ces habilitations ? 

• Le SIRH est-il régulièrement mis à jour ?

• Le SIRH effectue-t-il des sauvegardes régulières ?

• Des audits réguliers de sécurité sont-ils effectués ? 

• Le SIRH intègre-t-il des fonctionnalités de détection et d'alerte en cas de tentative d'accès non autorisé ? 

• Quelles sont les garanties de security by design et by default ? Robustesse ? Respect des réglementations sectorielles applicables ? 

Pour aller plus loin :  

• ALTIJ : https://www.altij.fr/detail-actualites/en-periode-de-crise-plus-imprevisible-que-jamais-comment-gerer-les-cyber-risques  

• CNIL : https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles  

• ANSSI : https://cyber.gouv.fr/publications/guide-dhygiene-informatique  

• ANSSI : https://cyber.gouv.fr/publications/maitrise-du-risque-numerique-latout-confiance  

• CNIL : https://www.cnil.fr/fr/securite-gerer-la-sous-traitance  

• ANSSI : https://cyber.gouv.fr/publications/agilite-et-securite-numeriques-methode-et-outils-lusage-des-equipes-projet  

10. Gestion des incidents et violations 

_{En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation à l'autorité de contrôle compétente dans les meilleurs délais et, si elle est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, il la communique à la personne concernée (articles 33, 34).} 

• Quels sont les processus en place pour gérer les violations de données ? 

• Le SIRH dispose-t-il d'un système de détection automatique des violations de données ? 

• Existe-t-il un workflow intégré pour la notification des violations à la CNIL et aux personnes concernées dans les délais légaux ? 

• Le système facilite-t-il la documentation détaillée des incidents (log notamment) ? 

Pour aller plus loin :  

• ALTIJ : https://www.altij.fr/detail-actualites/detail-personnes-familles/cyberattaque-lindemnisation-par-lassurance-conditionnee-par-le-depot-prealable-dune-plainte-penale  

• CNIL : https://www.cnil.fr/fr/violations-de-donnees-personnelles-les-regles-suivre  

• ANSSI : https://cyber.gouv.fr/publications/crise-cyber-les-cles-dune-gestion-operationnelle-et-strategique  

• ANSSI : https://cyber.gouv.fr/publications/anticiper-et-gerer-sa-communication-de-crise-cyber  

11. Analyse d'impact sur la protection des données (DPIA) 

_{Lorsqu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue une effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel (article 35).} 

• Une analyse d'impact sur la protection des données a-t-elle été réalisée le cas échéant ? 

• Existe-t-il un processus de révision périodique des DPIA existantes ? 

Pour aller plus loin :  

• CNIL : https://www.cnil.fr/fr/analyse-dimpact-relative-la-protection-des-donnees-aipd  

• EDPB : https://ec.europa.eu/newsroom/article29/items/611236  

• CNIL : https://www.cnil.fr/sites/cnil/files/atoms/files/liste-traitements-aipd-requise.pdf  

• CNIL : https://www.cnil.fr/sites/cnil/files/atoms/files/liste-traitements-aipd-non-requise.pdf  

12. Transferts de données 

_{Un transfert de données à caractère personnel vers un pays tiers de l’Union Européenne ou vers une organisation internationale ne peut avoir lieu en l’absence d’une décision d’adéquation ou de garanties appropriées (articles 44 à 50).} 

• Le SIRH est-il déployé en mode SaaS (Software as a Service) - hébergé dans le cloud, accessible via internet – ou en mode on-premise – installé sur les serveurs de l'entreprise ? 

• Le SIRH permet-il de tracer et de documenter les transferts de données hors UE ? 

• Les éventuels transferts de données hors UE ont-ils été identifiés, justifiés, encadrés et documentés ? 

Pour aller plus loin :  

• ALTIJ : https://www.altij.fr/detail-actualites/breaking-news-transferts-de-donnees-la-reforme-saccelere-et-se-concretise  

• ALTIJ : https://www.altij.fr/detail-actualites/detail-actualites-public/rgpd-comment-securiser-vos-transferts-de-donnees-les-nouvelles-clauses-contractuelles-types-expliquees  

• CNIL : https://www.cnil.fr/fr/definition/transfert-de-donnees  

• CNIL : https://www.cnil.fr/fr/les-outils-de-la-conformite/transferer-des-donnees-hors-de-lue  

• EDPB : https://www.edpb.europa.eu/system/files/2023-02/edpb_guidelines_05-2021_interplay_between_the_application_of_art3-chapter_v_of_the_gdpr_v2_en_0.pdf  

Note : Ces questions doivent guider la mise en conformité du SIRH avec le RGPD. Un audit interne peut également aider à vérifier si toutes ces exigences sont respectées, et le délégué à la protection des données (DPO) doit être impliqué dans ce processus. 

Ceci n'est pas une consultation juridique. Si vous souhaitez un accompagnement sur la conformité RGPD ou la cybersécurité, vous pouvez contacter Altij Avocats. 

NOS OFFRES 

Maitrise et confiance : Nos formations en protection des données 

Le « full compliance service » : votre audit de conformité complet  

Notre service DPO : externaliser votre conformité  

Spécial PME : la conformité en un jour  

Protéger vos données techniques