Big data & algorithmes, quand les innovations RH se heurtent au RGPD
Les ressources humaines utilisent largement les données, que ce soit tout simplement pour le calcul de la masse salariale mais aussi pour le recrutement ou la gestion des compétences. Mais qui dit données personnelles dit protection de la vie privée. La Cnil a d'ailleurs choisi en 2018, pour la première année d'application du RGPD, de concentrer ses contrôles sur l'utilisation des données en matière de recrutement.
Si les résultats ne sont pas encore connus (ils seront publiés dans le futur rapport d'activité de la commission, attendu au printemps), "on peut tirer certains enseignements sur la manière dont le recrutement est géré, notamment quand il est fondé sur un traitement algorithmique", explique Stéphany Chemmachery, juriste au service des questions sociales et RH à la Cnil. Car si le recrutement par la donnée progresse, il est évidemment encadré. "La première règle, c'est le code du travail qui la pose, l'article L1221-6 apporte une restriction sur les données qui peuvent être collectées dans le cadre du recrutement, on ne peut pas aller au-delà ce qui est nécessaire pour évaluer les compétences", explique Stéphany Chemmachery. De plus, en cas d'usage d'un algorithme, "il y a une exigence de transparence sur son fonctionnement", complète la juriste.
Information nécessaire des salariés
Pour la gestion quotidienne des effectifs en place, "la règle la plus importante, c'est l'adoption d'une politique des données salariés", rappelle Maître Eric Barbry, avocat associé au cabinet Racine. Une politique des données salariés, à la manière de ce qui se fait dans le marketing, vise à informer les salariés sur l'utilisation de leurs données par l'employeur. "Des entreprises oublient qu'elles ont des données RH et d'en informer leurs salariés", note Me Barbry. Mais si l'information est nécessaire, le consentement du salarié ne l'est pas. En effet, "les données sont utilisées pour mettre en œuvre un contrat, le contrat de travail ou pour respecter une obligation légale (déclaration à l'Urssaf par exemple, ndlr)", explique l'avocat. La seule embauche autorise donc l'entreprise à traiter les données du salarié.
La dématérialisation du bulletin de paie illustre aussi cet enjeu de la protection des données. Depuis 2017, l'employeur n'est plus obligé de demander l'accord du salarié pour lui fournir un bulletin au format numérique. Une solution choisie par beaucoup d'entreprises au moment du passage au prélèvement à la source le 1er janvier. Le bulletin est désormais stocké dans un coffre-fort numérique, dispositif soumis à certaines exigences. "Il y a une obligation de sécurisation : traçabilité des accès, identifiants robustes", liste Me Barbry. "Le coffre-fort numérique doit être accessible au seul salarié ou aux personnes qu'il a spécialement mandatées", ajoute Stéphany Chemmachery.
Bulletins de paie dématérialisés
Pour la dématérialisation des bulletins de paie, comme pour la gestion des données en général, les entreprises passent généralement par un sous-traitant. Et en cas de défaillance, le donneur d'ordre ne peut plus échapper à ses responsabilités. "Avec le RGPD, il y a une forte responsabilisation du responsable du traitement et du sous-traitant", dit Stéphany Chemmachery de la Cnil. La juriste précise que "le responsable du traitement doit vérifier que son sous-traitant respecte les exigences en matière de protection des données".
"Avec le RGPD, il y a une forte responsabilisation du responsable du traitement et du sous-traitant"
Une de ces exigences, issue du RGPD, est la notion de privacy by design. Cette notion implique d'inclure la protection de la vie privée dès la conception des outils. "Le RGPD oblige à rentrer dans le détail : quelles données j'utilise, comment je les traite, comment je les conserve", selon Bénédicte Le Deley, secrétaire générale de l'ANDRH (Association nationale des directeurs de ressources humaines). Pour elle, c'est une innovation "qui va dans le sens d'une plus grande pertinence de l'information".
Le passage au RGPD a donc "impliqué de passer en revue les processus RH", souligne Bénédicte Le Deley. "Nous avons eu des retours et ce n'est pas un exercice toujours facile", relate-t-elle. La secrétaire générale rapporte aussi que si les plus grandes entreprises ont "plus de chances d'avoir accès à un service juridique" qu'une petite structure, les procédures de validation peuvent y être "plus complexes".
Les PME ou les ETI ne sont donc pas désavantagées. Exemple avec PeopleDoc et ses 300 salariés. "Nous avons été en conformité avant la fin 2017", se félicite Arnaud Gouachon, chief legal officer. En outre, il rappelle "qu'en tant qu'entreprise française, on avait un avantage, l'ancienne législation étant proche des nouvelles exigences du RGPD". D'autant plus que PeopleDoc est une entreprise œuvrant justement dans la digitalisation des process RH. "Cela permet de rassurer nos clients", estime le chief legal officer, qui voit le RGPD comme une "opportunité vers plus de transparence".