RGPD, le nouveau règlement sur la protection des données personnelles
Comme partout ailleurs dans le monde, en Europe, les données du personnel traitées au niveau du département Ressources humaines des sociétés, doivent être protégées.
Cela pour éviter leurs exploitations à l’insu de leurs propriétaires. C’est la fonction principale de la RGPD qui est un texte de référence régissant la protection des données personnelles. Le non-respect de cette loi est passible d’une peine relativement importante.
Définition
Algorithme : toute suite finie d’opérations logiques, combinant et transformant des données d’entrée en vue de fournir un ou plusieurs résultats. Un algorithme est constitué de critères et de pondérations, reliés entre eux par des opérations mathématiques. Un algorithme de qualité est censé reproduire les meilleures pratiques du processus qu’il gère, pour chacun des cas d’usage susceptibles d’être rencontrés.
Bonne pratique : tout ensemble de comportements qui font consensus et qui sont considérés comme indispensables par la plupart des professionnels pour la qualité d’un domaine donné. La gestion des bonnes pratiques dans un domaine implique une veille stratégique et une gestion approfondie des connaissances de ce domaine.
Donnée : toute information constitue potentiellement une donnée. Une information devient une donnée dès lors qu’elle est recueillie.
Donnée brute : toute donnée recueillie et n’ayant subi aucun traitement algorithmique.
Donnée sensible (Définition CNIL) : toute information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes.
Donnée transformée : toute donnée ayant subi un traitement algorithmique.
Donnée personnelle (Définition CNIL) : toute information identifiant directement ou indirectement une personne physique. Des exemples courants incluent : nom, identifiant, numéro de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…
IHM ou Interface Homme Machine : toute interface permettant une transmission d’informations entre un individu et un dispositif numérique de manière unilatérale ou interactive. Il existe des IHM d’entrée et de sortie, permettant respectivement l’acquisition et la restitution de données.
Des exemples courants d’IHM d’entrée incluent : souris, clavier, capteur, écran tactile, microphone, caméra…
Des exemples courants d’IHM de sortie incluent : écran, imprimante, haut-parleur…
Matching : toute opération visant à faire correspondre des objets, contenus ou individus en fonction d’un ensemble de critères pré-définis.
Matching Affinitaire : toute opération visant à suggérer une correspondance, à partir de données spécifiques aux deux objets, contenus ou individus à faire correspondre. Un matching affinitaire de qualité est basé sur une connaissance suffisante des critères et pondérations permettant la pertinence du matching.
Matching Prédictif : toute opération visant à suggérer une correspondance future, à partir d’une large quantité de données issues du passé. Il s’agit d’une approche statistique basée sur une large quantité de données dépassant largement les objets, contenus ou individus à faire correspondre, et visant à prolonger dans le futur la validité de modèles statistiques mis en évidence grâce aux données du passé.
Responsabilité Sociale d’Entreprise (définition de la Commission Européenne) : La RSE est «La responsabilité des entreprises vis à vis des effets qu’elles exercent sur la société ». La Commission précise qu’afin de s’acquitter pleinement de leur responsabilité sociale, il convient que les entreprises aient engagé, en collaboration étroite avec leurs parties prenantes, un processus destiné à intégrer les préoccupations en matière sociale, environnementale, éthique, de droits de l’homme et de consommateurs dans leurs activités commerciales et leur stratégie de base.
Réseau Social d’Entreprise: Toute plateforme de communication interne à l’entreprise ou à un Groupe d’Entreprise. Le Réseau Social d’Entreprise vise à faciliter le travail collaboratif et à fluidifier les échanges entre salariés d’une même entreprise ou d’un même groupe. Cette plateforme peut s’ouvrir à l’ensemble des parties prenantes ayant un lien professionnel avec l’Entreprise (ou Groupe d’Entreprises), tels les prestataires, les clients, les distributeurs, etc…
Sous-Traitant: Toute entité (personne physique ou morale) juridiquement indépendante, qui sous la responsabilité d’une entreprise principale, s’engage envers cette dernière à réaliser un travail en sous-oeuvre.
Tiers-Fournisseur : Toute entité (personne physique ou morale) juridiquement indépendante, fournissant une prestation finie envers une entreprise principale, sans que cette dernière n’ait exercée sa responsabilité dans l’exécution du travail ayant conduit à la prestation.
Traitement de Données (Définition CNIL) : toute opération, ou ensemble d’opérations, portant sur des données, quel que soit le procédé utilisé. Des exemples de procédé de traitement de données incluent : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction. L’acquisition, la restitution et le stockage de données constituent donc une forme de traitement de données.
Rappels des principes de la CNIL
Cette charte vient en complément de la législation française en vigueur en matière de données, et des travaux menés par ailleurs par la CNIL.
Cette charte ne saurait en aucun cas se substituer à des obligations légales, ni des recommandations existantes de la CNIL.
Les travaux et publications de la CNIL en lien avec les Ressources Humaines peuvent être retrouvés sur les supports de la CNIL, notamment à l’adresse web suivante, disponible au moment de la publication de la présente charte :
https://www.cnil.fr/fr/thematique/travail.
Qu’est-ce que le RGPD ?
Le RGPD est l’acronyme de « Règlement Général sur la Protection des Données ». L’on épelle GDPR en anglais pour « Général Data Protection Regulation ».
Il s’agit d’une loi appliquée dans l’ensemble des pays de l’Union européenne pouvant affecter la vie privée des citoyens. En 1995, la Commission Européenne a mis en place pour la première fois la « Directive sur la Protection des Données Personnelles ».
Par la suite, une réforme a été apportée à cette directive pour qu’elle s’adapte à l’avancée des nouvelles technologies en matière de communication et de transfert de données. D’où l’apparition du RGPD, la nouvelle version de la directive établie il y a 25 ans.
De quelles données parle-t-on ?
Les données personnelles sont les informations appartenant à une personne physique ou morale et qui sont fournies à une structure (société, institut, organisme) pour toutes fins utiles.
Entre autre, les sociétés disposent de différentes informations concernant leurs salariés : leurs états civils, leurs origines, leurs numéro de sécurité sociale, … etc. Le RGDP détermine l’objet et la limite auxquels la société employeur doit s’en tenir lors de l’utilisation de ces données.
Par ailleurs, il existe des informations dites sensibles. C’est le cas d’une identification biométrique, une identification génétique ou des informations confidentielles sur la santé d’une personne. Ce qui fait la particularité du RGDP. Le règlement se décline suivant le type de donnée en possession de l’organisme détenteur des informations privées.
Pour toutes transgressions ou non respect des lois préétablies dans le RGDP, l’organisme doit s’acquitter de 4% de son chiffre d’affaire annuel mondial ou de 20 Millions d’Euros. Pour trancher, le RGDP préconise de retenir la somme la plus importante.
Qui est concerné par le RGPD ?
L’application du RGPD concerne toutes organisations pouvant détenir des informations à caractère personnelles dans l’ensemble des 28 États de l’Union européenne. Sont soumis à ce règlement :
- les entreprises : au niveau de leur département Ressources Humaines pour la gestion du personnel.
- Les sociétés pourvues d’un système informatique indépendant : sous la houlette de la DSI,
- Les associations : requérant les informations détaillées de chacun de leurs membres.
- Les organismes publics : qui disposent d’une grande quantité de données de la population.
- Les entreprises ayant leur siège hors de la juridiction de l’Union Européenne : mais traitant les activités des états membres.
- En bref, lorsqu’organisme ou un consultant traite les données personnelles d’un citoyen européen, il lui est impératif de se conformer au RGPD.
Comment et quand sera-t-il appliqué ?
L’adoption du RGPD ou GDPR a été proposée par la Commission européenne en 2012. Le but étant de mettre à jour et de moderniser les directives prises en 1995. Pour cela, le règlement exige que les données personnelles soient accessibles à tout moment à tous les intervenants concernés mais avec l’accord préalable du titulaire de l’information.
Des systèmes de sécurité doivent également être mis en place pour éviter les éventuelles infractions dans la base de données. Un poste de responsable sera dédié à la gestion de cette sécurité. Par la suite, les autorités de régulation vérifieront le respect du traitement des données privées auprès de chaque société en conformité avec le RGDP.
Toutefois, il est important de noter que l’application du RGDP est prévue en mai 2018, pour accorder suffisamment de temps à tous les organismes pour la mise en place.
Le RGPD peut être consulté en français sur le site web de la CNIL à l’adresse web suivante, disponible au moment de la publication de la présente charte : https://www.cnil.fr/fr/reglement-europeen-protection-donnees.
Des informations complémentaires peuvent être consultées sur le site web dédié de l’Union Européenne, à l’adresse web suivante, disponible au moment de la publication de la présente charte : http://www.eugdpr.org/
Cycle de vie des données
Toute donnée doit être recueillie pour commencer son cycle de vie. Certaines des données recueillies ont vocation à être traitées via un traitement algorithmique. Les données transformées, ainsi que les données brutes, peuvent être restituées à un utilisateur sous divers formats, via une IHM. La totalité de ces données peuvent être stockées dans des bases de données, selon une structuration pré-définie par les concepteurs de la base de données.
Chacune de ces étapes (acquisition, traitement, restitution, stockage et structuration), peut présenter des spécificités et enjeux, susceptibles de contrevenir aux dispositions légales en vigueur, et plus largement à des considérations éthiques. Afin d’agir au mieux, la présente charte propose d’identifier les bonnes pratiques pour chacune des étapes du cycle de vie des données.
Bonnes pratiques pour l’acquisition des données
L’acquisition des données est l’étape qui permet le recueil de données. Ce recueil peut être opéré manuellement ou automatiquement. Le mode manuel implique la saisie d’informations dans des champs spécifiques sur une IHM, et donc une action volontaire de saisie de la donnée. Le mode automatique implique le recueil de données sans action volontaire de la part de l’individu concerné.
Dans les deux modes, manuel et automatique, il est impératif que les données recueillies concernant un individu soient recueillies en amont de l’usage fait de ces données sur la base du volontariat et de façon éclairée (déclaration ou acte positif explicite, informations claires et compréhensibles) permettant une liberté de choix, avec possibilité de réversibilité du consentement.
Le refus par un individu, de recueillir ses données personnelles,ne peut constituer pour l’individu en question un critère de discrimination.
Le recueil manuel de données personnelles par un tiers sans le consentement de l’individu concerné est à éviter, sauf à s’assurer que le tiers dispose des autorisations nécessaires. Cela inclut notamment :
- le remplissage de champs à but professionnel (recopie du profil LinkedIn d’un collaborateur en vue d’alimenter la CVthèque interne, saisie d’informations recueillies oralement…) ;
- le remplissage de champs à but commercial ou viral (recueil d’adresses mail, d’identifiants réseaux sociaux…).
Le recueil manuel de données personnelles par un tiers, doit s’effectuer de façon claire, lisible et concise. Il convient d’éclairer la personne afin qu’elle puisse effectuer son choix librement. A titre d’exemple, le recueil du consentement au travers d’une acceptation de Conditions Générales d’Utilisation volumineuse et illisible est à proscrire.
Le recueil automatique de données personnelles sans le consentement de l’individu concerné est à proscrire strictement. Cela inclut notamment :
- la récupération automatique de BioData sans l’accord formel de l’individu concerné (récupération des données du profil LinkedIn, récupération de données personnelles trouvées sur les moteurs de recherche…) ;
- l’interprétation de données personnelles à partir d’autres données sans l’accord formel de l’individu concerné (analyse automatique du comportement à partir du profil Facebook, à partir d’éléments de navigation ou de toute autre donnée…) ;
- la récupération massive et automatisée de données (crowling).
- la captation de toute information biométrique.
Principe d’extension des bonnes pratiques du recueil des données à toute la chaîne de valeur : Lorsque des travaux nécessitant le recueil de données, sont confiés à un Sous-traitant, l’entreprise s’assure que ce recueil s’effectue avec les mêmes garanties et dans les mêmes conditions que si elle exécutait elle-même ce recueil. Cette extension des bonnes pratiques s’applique aussi dans le cadre d’utilisation d’outils fournis par des Tiers-Fournisseurs, tel le recours à des outils de Réseau Social d’Entreprise, ou des objets connectés de toute nature. L’entreprise ne peut proposer l’utilisation d’outils développés par un Tiers-Fournisseur, sans en garantir une application de règles d’acquisition des données identique à celle qu’elle s’impose à elle-même.
Bonne pratiques pour le traitement algorithmique des données
Principe de Loyauté du traitement algorithmique : Le traitement algorithmique des données doit s’effectuer de façon transparente, après information auprès des personnes concernées de l’utilisation de leurs données personnelles et de la finalité du traitement. Les personnes doivent également être informées des différents droits dont elles disposent ainsi que de leurs modalités d’exercice.
Principe de neutralité du traitement algorithmique : Le traitement algorithmique des données ne doit en aucun cas permettre d’aboutir à une donnée sensible.
Principe de simplicité et « d’explicabilité” du traitement algorithmique : les responsables des Ressources Humaines ne doivent pas appuyer leurs décisions sur le résultat d’algorithmes dont ils ne peuvent expliquer en détail la logique, les critères et les pondérations. Plus un algorithme est complexe, moins il sera évident de comprendre la logique des résultats qu’il proposera, et moins la décision qui en résultera relèvera d’une logique construite et responsable.
Principe de maîtrise du traitement algorithmique : la culture et les processus de toute organisation étant spécifiques, tout algorithme visant à remplacer un processus doit être co-construit, et au minimum validé par les responsables des Ressources Humaines qui en auront analysé les impacts dans le cadre d’une étude spécifique.
Dans le cas d’outils délivrés par un Tiers-Fournisseur, il conviendra de recenser tous ceux utilisant des traitements algorithmiques, d’en analyser les impacts afin de s’assurer de leur bon respect des bonnes pratiques. Cette analyse devra être effectuée régulièrement, pour garantir l’intégration des bonnes pratiques dans les montées de version des outils.
Afin de permettre un échange sur le sujet du traitement algorithmique avec les partenaires sociaux, l’entreprise intégrera cet item dans son Document Unique d’Evaluation des Risques Professionnels. .
Principe de précaution du traitement algorithmique : le matching prédictif ne doit pas être appliqué pour la gestion des Ressources Humaines appliquée à un individu en particulier. Ainsi, dans la mesure où le matching prédictif est basé sur des représentations statistiques, c’est sur le plan des populations qu’il doit être appliqué, afin de définir des tendances et informations de contexte pour un métier ou famille de métiers, un secteur d’activités, un groupe d’individus. Chaque individu doit être sujet à un matching qui ne réduit pas sa compatibilité à une moyenne statistique ou des personnes a priori similaires. En effet, les modèles statistiques issus des données du passé ne présentent objectivement aucune validité pour le futur, en raison de quatre biais majeurs :
- les pratiques du passé ne sont pas exemplaires ;
- l’approche statistique a pour effet d’écraser les anomalies et valeurs insignifiantes, pourtant connues sous le nom de ‘diversité’ en matière de Ressources Humaines ;
- les conditions et le contexte du passé ne ressemblent aucunement aux conditions et au contexte du futur ;
- La prédictivité ne peut être mesurée que par la mise en situation et des attentes explicites.
Principe de sous-traitance du traitement algorithmique : Lorsqu’un traitement algorithmique est sous-traité, l’entreprise donneuse d’ordre doit s’assurer que le sous-traitant présente les mêmes garanties de protection et répond aux mêmes obligations qu’elle-même.
Le présent article présente un ensemble de définitions, principes et bonnes pratiques, afin de permettre une utilisation responsable des données personnelles dans le domaine des Ressources Humaines. L’ensemble des contenus décrits relèvent d’un bon sens commun, ainsi que d’une culture responsable du numérique, qu’il convient d’adopter et de diffuser largement.
Les Ressources Humaines ne pourront pleinement jouer leur rôle qu’en s’appropriant pleinement les enjeux liés aux données personnelles.