Revue Fiduciaire

RGPD : l'impact sur les salariés en cabinet

Article écrit par (2 articles)
Modifié le
2 994 lectures
Comment traiter les données personnelles des salariés dans un cabinet ?

L'étude OMECA fait état d'un effectif moyen par cabinet de 7,8 salariés, ce chiffre masquant deux tendances : 83 % des cabinets emploient moins de 10 salariés et 17% des cabinets emploient entre 10 et 1000 salariés.

Si vous êtes expert-comptable, la probabilité que vous exerciez dans une structure de moins de 10 salariés est donc assez élevée ce qui est intéressant car contrairement aux dires que le RGPD ne concerne que les grosses structures, quelque soit la taille de votre cabinet, vous êtes autant concerné que les cabinets de taille PME ou GE. Le domaine des ressources humaines, aussi bien appliqué aux salariés du cabinet que pour les clients pour lesquels une mission sociale est réalisée, faisant transiter de nombreuses données personnelles, sensibles ou non, vous concerne donc tous, mais vos moyens financiers et humains et vos besoins pourront différer.

Après vous avoir parlé de l'impact du RGPD dans vos processus de recrutement, nous présenterons ci après les impacts du RGPD dans la gestion courante de votre cabinet, et plus précisément dans la gestion des ressources humaines. L'objectif n'est pas ici d'être exhaustif, mais de vous donner plusieurs pistes concrètes que vous pourrez ensuite dérouler au sein de vos cabinets.

 

Les actions RH quotidiennes impliquant des traitements de données personnelles

De nombreuses actions réalisées quotidiennement font transiter des données personnelles, plus ou moins sensibles :

  • la réalisation des bulletins de salaire ;
  • la gestion des congés payés ;
  • la gestion des arrêts maladie ;
  • la gestion des salariés handicapés ;
  • la gestion des mutuelles ;
  • le suivi des temps ;
  • la gestion des entretiens annuels ;
  • la gestion des avertissements ;
  • la gestion des élections des représentants du personnel ;
  • etc...

Ces procédures bien que courantes et bien rodées au sein de votre cabinet doivent être revues pour respecter les règles énoncées par le RGPD. En effet, tous vos usages et toutes vos procédures devront désormais respecter les principes de transparence, de licéité du traitement et de collecte du consentement, dans un objectif commun d'amélioration de la protection des données personnelles de vos collaborateurs et éventuellement, mais nous le développerons dans un autre article, des salariés de vos clients.

D'accord, mais par ou commencer ? La priorité : cartographier l'ensemble des traitements de données personnelles que vous réalisez ou faites réaliser en interne, ou avec l'externe si jamais vous externalisez partiellement ou totalement votre gestion RH courante.

Et ensuite ? Identifier les données collectées, les usages que vous en faites, la réglementation qui encadre ces données et surtout vous assurer de leur nécessité ! Depuis l'entrée en application du RGPD, il peut vous coûter cher de détenir des données personnelles dont vous n'avez strictement aucune utilité ou bien qui sont détenues au delà des durées maximales autorisées. Entamer sa mise en conformité au RGPD est ainsi l'occasion de faire du tri dans les données stockées, et d'identifier la pertinence et la nécessité de certains traitements de données personnelles réalisés non pas pour des besoins de l'activité RH courante, mais parfois par usage.

Par exemple : le fait d'alimenter dans un calendrier partagé (papier ou numérique) les dates d'anniversaire de vos salariés part d'une bonne attention... mais vis à vis du RGPD, mieux vaut s'assurer que les salariés concernés sont conscients des usages que vous faites de leurs données, pour ainsi éviter tout conflit interne en faisant valider par la direction, en amont, la politique de protection des données personnelles...

 

La mise en conformité au RGPD au travers de la modification des contrats de travail

Le document qui matérialise vos relations avec vos salariés est le contrat de travail : rien donc de mieux d'un point de vu formel pour informer vos salariés des données collectées, leur faire part des finalités recherchées et surtout de collecter leur consentement. Un conseil avant de vous lancer dans une grande opération de modification des contrats de travail : démarrez votre démarche de mise en conformité au RGPD en échangeant avec les représentants du personnel sur les mentions qui seront ajoutées dans les contrats de travail des salariés. Ces clauses ont vocation à :

  • Détailler les données personnelles collectées sur les salariés, et les traitements de données prévus. Il est préconisé d'être exhaustif lors de la rédaction des clauses afin d'éviter tout risque ultérieur, ou la nécessité de refaire signer des avenants pour couvrir les traitements omis... Exemples : « Les noms et prénoms du salarié seront utilisés pour configurer l'équipement informatique mis à sa disposition dans le cadre de ses fonctions, créer son adresse email professionnelle, ses cartes de visite professionnelles, réserver les éventuels déplacements professionnels... », « L'adresse du salarié sera utilisée pour renseigner ses coordonnées sur les documents obligatoires produits dans le cadre de la gestion de la paie, et à lui adresser par voie postale le livret d'actualité trimestriel ainsi que les relevés annuels de compte de son plan épargne entreprise ». « La photo du salarié sera utilisée pour alimenter l'organigramme interne, présenter les collaborateurs sur le site internet du cabinet, et générer le badge du salarié ».

  • Détailler les obligations qui incombent aux salariés qui, le cas échéant, manipulent des données à caractère personnel d'autres salariés ou de clients. Vous trouverez des exemples de modèle de clauses à ajouter dans les contrats de travail en vous rendant sur le site du Conseil Sup. Exemple : « Le salarié s'engage à ne pas divulguer les données auxquelles il peut accéder qu'aux personnes dûment autorisées, en raison de leurs fonctions, à en recevoir communication... ».

Le fait d'insérer ces clauses dans le contrat de travail vous engage, en tant qu'employeur, sur les traitements de données personnelles que vous réalisez, permet de collecter le consentement de vos salariés, et leur engagement de respecter les nouvelles obligations qui leur incombent le cas échéant. La formalisation de ces traitements dans les contrats de travail a vocation à clarifier les usages des données personnelles auprès de vos salariés et ainsi de leur permettre de maintenir la confiance vis à vis de leur employeur. La marque employeur est un élément important pour impliquer son équipe, et pour la fidéliser alors profitez du RGPD pour redonner de la transparence à vos salariés !

Les données personnelles collectées peuvent concerner le salarié lui même ou sa famille (conjoint et enfants) et porter sur sa situation familiale personnelle, sa santé (maladie et éventuellement handicap), son appartenance syndicale... Compte tenu des enjeux liés aux données personnelles, il est de votre intérêt de ne conserver que les données strictement nécessaires à des usages soit légaux, soit nécessaires à l'activité de votre cabinet. Il serait ainsi inapproprié, et sanctionné par les autorités de contrôle, en cas de contrôle, le fait d'utiliser à des fins non nécessaires des données personnelles de salariés et anciens salariés. Un exemple volontairement absurde serait de faire une répartition des tendances religieuses des salariés dans le temps. Cela n'a aucune utilité pour votre activité ni pour le bon fonctionnement du cabinet.

 

Les implications du RGPD au sein de votre cabinet en quelques exemples concrets

De part votre activité, vous utilisez, en fonction du degré de digitalisation de votre cabinet d'expertise-comptable, de nombreux outils numériques ou physiques :

  • les boites emails ;
  • les smartphones ;
  • les tablettes et PC portables ou fixes ;
  • les organigrammes ;
  • les panneaux d'affichage ;
  • l'intranet ;
  • les badges et pointeuses ;
  • la vidéosurveillance des locaux.

Pour chacun des usages de données personnelles qui pourraient être effectués par l'intermédiaire de ces outils, vous devez identifier les données collectées auprès de vos salariés et les traitements réalisés de manière à collecter leur consentement pour pouvoir continuer à les exécuter. Le diagnostic de vos usages des données personnelles en interne qui a vocation à représenter tous les traitements de données personnelles sous forme de cartographie, pourra vous surprendre ! Cet « audit » vous permettra d'identifier des usages devenus habituels mais qui pourront être à revoir dans le cadre du respect du RGPD.

Exemple : que vous ou vos managers aient connaissance, via le service RH interne, de la situation personnelle de vos équipes respectives (divorce, séparation, garde alternée...) et que ces données soient prises en compte dans le cadre de la validation des périodes de vacances.

Soyez attentifs également aux droits que le RGPD accorde aux personnes concernées comme le droit d'accès (article 15), le droit de rectification (article 16), le droit d'opposition (article 21) ou encore le droit à la limitation du traitement.

Illustrons avec quelques traitements classiques :

Données personnelles

Finalités du traitement de données personnelles

Noms, prénoms et date de naissance des enfants

Déclarer les enfants à charge à la mutuelle employeur

Photo de votre salarié

Affichage dans l'organigramme du cabinet

Les deux traitements de données personnelles cités précédemment sont assez standards et, avouez le, il est tentant d'utiliser les données personnelles pour d'autres finalités que celles mentionnées dans l'exemple. Le principe de loyauté vous empêcherait, sans en avoir informé votre salarié et sans avoir recueilli son consentement, de les utiliser à d'autres fins. Ainsi, sans consentement explicite, vous ne pourrez pas :

  • utiliser les noms, prénoms et date de naissance des enfants pour prévoir les cadeaux de noël ;
  • utiliser la photo du salarié pour le faire figurer dans l'Intranet (en dehors de l'organigramme), sur le site internet de votre cabinet, dans des plaquettes commerciales, ni dans des réponses à des appels d'offre.

Reprenons l'exemple de l'organigramme publié sur l'Intranet de l'entreprise (et parfois même dans des documents commerciaux..). Une photo est une donnée personnelle, ainsi il vous faut l'accord de vos collaborateurs pour l'utiliser, et la diffuser auprès de l'ensemble du bureau, ou même du groupe.  Comme le souligne l'article 21 du RGPD, votre collaborateur est tout à fait en droit de refuser à ce que sa photo soit diffusée dans l'organigramme puisque ce traitement n'a pas d'appui obligatoire : le droit d'opposition lui permet de s'opposer à tout moment au traitement de ses données à caractère personnel. Vous devez accepter sa requête sauf à pouvoir démontrer qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée. La finalité de l'organigramme est de permettre à l'ensemble de l'équipe d'identifier qui est qui et surtout qui fait quoi... Ce refus implique une autre question que vous devez vous poser : comment gérer les collectes de consentements, les demandes de limitation, de suppression, les oppositions ? Et bien soit dans le dossier (papier.. ou numérique) du salarié, soit dans des zones libres de la fiche salarié dans l'outil de gestion des RH...

Rassurez vous, le RGPD ne demande pas à ce que vous soyez conforme à un instant T, mais dans une démarche de mise en conformité : en cas de contrôle, les autorités pourront ainsi comprendre que par exemple le stockage des consentements soit fait de manière non optimale mais qu'une réflexion soit en cours sur le sujet pour éviter d'enfreindre les éventuelles oppositions au traitement émises par certains collaborateurs...

En ce qui concerne les panneaux d'affichage, soyez vigilant en cas d'affichage des listes syndicales... il s'agit de données sensibles (au sens de l'article 9.1 du RGPD) et si les panneaux d'affichage se situent dans une zone également fréquentée par des non salariés, les données personnelles de vos salariés pourraient être vues par des tiers et diffusées.. Vous devez mettre en œuvre des procédures permettant de limiter l'accès à ces données aux seules personnes devant en être destinataires : cela implique donc que les accès à ces affichages ne soient pas accessibles aux prestataires d'entretien des locaux qui deviendraient sinon des sous-traitants de données personnelles, au sens du RGPD.

Les emails et les matériels (PC, tablette, smartphone) professionnels à usage mixte imposent une vigilance particulière : les outils mis à disposition de vos collaborateurs ne sont pas destinés à faire transiter des informations personnelles, mais il se peut que vos collaborateurs y stockent des documents tels que des arrêts maladie de membres de leur famille, ou des documents médicaux : ces documents ayant transité sur ces outils, même si vous n'avez pas autorisé leur usage dans ces traitements, il vous faut être vigilant dans la sécurité apportée au stockage et à l'archivage des documents de vos salariés : sauvegarde des boites emails, chiffrement des contenus des postes de travail etc...

L'objectif de cet article n'était pas de détailler les impacts du RGPD sur tous les outils et tous les traitements de données personnelles au sein du cabinet mais de vulgariser le concept du RGPD en faisant référence à des éléments concrets. En espérant que cela aura pu vous servir dans le cadre de vos propres démarches de mise en conformité au RGPD.

Ce qu'il faut retenir

Le RGPD peut être vu comme une contrainte, mais il est aussi et surtout une opportunité pour faire le point sur les traitements de données réalisés au sein de votre cabinet, de manière à formaliser vos usages, identifier ceux qui ne sont pas adéquats afin d'y mettre fin, et rétablir la propriété des données personnelles à leur propriétaire : vos salariés. Formalisation de la démarche de mise en conformité de votre cabinet d'expertise-comptable, cartographie de vos traitements, mise à jour de vos procédures internes et préparation du projet d'avenant aux contrats de travail sont vos prochaines actions à mener pour entamer la mise en conformité au RGPD de la gestion RH courante de votre cabinet !

Amélie CARO - PiaLab

Amélie CARO
PiaLab, solution logicielle de mise en conformité au RGPD

Twitter   Facebook   Linkedin

IGEFI