RGPD et données RH: quelles solutions pour se mettre en conformité?
"Il ne faut pas conserver les données ad vitam eternam: vous devez même les effacer 5 ans après le départ de vos salariés. " Franklin Brousse
Ghislain Tuaz, directeur technique de Nibelis, complète le propos en évoquant le cas des bulletins de paie dématérialisés, édités uniquement au format électronique, pour lesquels les règles diffèrent(1): "Le coffre-fort électronique impose la conservation des données jusqu'aux 75 ans d'un salarié. L'entreprise est ainsi déchargée de ces problématiques, il ne lui reste plus qu'à s'assurer que les données ont bien été supprimées de ses serveurs lorsque le délai de conservation arrive à terme." Et de rappeler: "Si vos salariés ne sont pas équipés en matériel informatique, vous êtes tenu de leur remettre un dossier imprimé lors de leur départ. Dans un monde où la dématérialisation est devenue la norme, il devient complexe de gérer ce type de situation."
(1) Un décret n°2016-1762 du 16 décembre 2016 relatif à la dématérialisation des bulletins de paie et à leur accessibilité dans le cadre du compte personnel d'activité précise la durée pendant laquelle l'employeur doit garantir la disponibilité du bulletin de paie dématérialisé: le bulletin de paie doit être accessible soit pendant une durée de 50 ans, soit jusqu'à ce que le salarié ait atteint l'âge de 75 ans.
[Retour d'expérience] Nibelis: des avenants aux contrats des clients et la construction de référentiels
"Nous travaillons activement sur notre mise en conformité au RGPD, et tous nos clients recevront sous peu des avenants à leur contrat pour formaliser cette dernière. Nos enjeux sont forts: nous construisons des référentiels permettant une parfaite traçabilité des traitements des données personnelles de nos clients. Nous devons être en capacité de mener des audits pour prouver la suppression des données.
Face à ces bonnes pratiques, une entreprise peut viser l'obtention d'une certification de ses processus internes par la Cnil. Ainsi, la norme ISO/CEI 27018 concerne la protection des données à caractère personnel dans l'informatique en nuages, correspondant aux exigences du RGPD", détaille Ghislain Tuaz, directeur technique de Nibelis.
Pour aller plus loin sur le sujet du RGPD:
[Dossier] RGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données
[Dossier] RGPD: tout savoir sur le DPO, délégué à la protection des données
Comprendre le RGPD: focus sur l'élaboration du registre des traitements
NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles