Quels sont les enjeux de traitement des données RH dans les collectivités ?

Ressources Humaines et DSI, le challenge de la RGPD

La transformation numérique de la fonction RH figure parmi les grands chantiers de la transformation digitale du secteur public. Menée à travers les 2 grandes missions de rénovation du cadre des ressources humaines et de transition vers le numérique, elle implique notamment la généralisation des SIRH (Système d’information de gestion des ressources humaines).

Avec ces outils se pose la question de l’utilisation des données RH dans les collectivités territoriales et du cadre réglementaire à poser pour protéger les salariés de la fonction publique.

Ce challenge demande une étroite collaboration entre le pôle des ressources humaines et celui de l’informatique (DSI). Ils doivent travailler de concert pour définir le cadre réglementaire, accompagner les équipes dans le changement et répondre aux contraintes économiques.

Depuis le 25 mai 2018, date d’entrée en application du Règlement Général de Protection des Données (RGPD), toutes ces données doivent être traitées en conformité avec ce règlement.

LA GÉNÉRALISATION DES SIRH DANS LES COLLECTIVITÉS​

La transformation numérique de la fonction ressources humaines dans le secteur public implique plusieurs grands axes de travail. Fluidification des processus ou encore dématérialisation totale des documents mais aussi la mise en place de nouveaux services, de nouveaux usages et d’outils de pilotage RH performants… Les SIRH seront donc au cœur de la révolution numérique pour la fonction RH dans les collectivités avec une convergence Paie-SIRH progressive. Dans ce contexte, un enjeu d’accompagnement des agents se pose en termes de communication interne et d’aide à la prise en main de ces nouveaux outils.

Avec une généralisation des outils digitaux au sein de la fonction publique, le volume de données traitées par les collectivités est amené à croître de plus en plus. Dans ce contexte se pose la question de la protection des données RH dans les collectivités territoriales.

Données RH et protection des données personnelles dans les collectivités

Les ressources humaines peuvent posséder de grandes quantités d’informations au sujet de leurs agents. Il n’est pas rare que certaines de ces données RH soient des données sensibles. Voici comment les collectivités doivent traiter les données RH, en conformité avec le RGPD.

Cartographier l’utilisation des données RH

Répertorier et cartographier toute la façon dont les ressources humaines traitent les données RH est la première étape obligatoire. Données relatives à la gestion de carrière, à la gestion de la paie, au dialogue social, au recrutement… Cette cartographie de traitement doit être réalisée conjointement avec le délégué à la protection des données (DPD). Elle rassemble les informations qui concernent la façon dont ces données RH sont traitées, pour quel objectif, leur nature, la façon dont elles sont sécurisées, conservées, etc.

Être conforme à la loi

Les responsables des ressources humaines et les DSI doivent garantir que les données RH sont traitées de façon licite. Pour cela, le traitement des données doit tomber sous le coup d’au moins une des six bases légales prévues par le RGPD : Le consentement, l’obligation légale, l’exécution d’un contrat, une mission d’intérêt public, la sauvegarde des intérêts vitaux ou un intérêt légitime. Dans tous les cas, il faut être en capacité de prouver la licéité du traitement des données RH à tout moment.

Le principe de minimisation

L’idée du principe de minimisation consiste à dire qu’il faut se contenter de ne récolter que les données RH nécessaires à l’aboutissement d’une activité ou d’une mission. Cela signifie que dans certaines situations il ne sera pas justifié de demander le statut marital d’un agent si ce n’est pas nécessaire au bon déroulement de son activité. De même les renseignements demandés à des candidats doivent se limiter au strict nécessaire, c’est-à-dire sa capacité à satisfaire aux exigences du poste. Quoi qu’il arrive, certaines données personnelles supplémentaires pourront être complétées dans le futur, par exemple si le candidat est recruté.

La finalité de l’utilisation des données RH doit être encadrée​

La récolte des données RH ne se limite pas aux données que communiquent les agents en toute connaissance. Les données d’accès, notamment avec l’utilisation de badges, ou encore la vidéosurveillance ne doivent pas être détournées de leur fonction première. Protéger les données RH en conformité avec le RGPD signifie donc veiller à l’intégrité dans le traitement de ces informations, qui doit être en conformité avec le cadre initialement prévu. Un système de vidéosurveillance à vocation à protéger et non à surveiller, par exemple. Dans tous les cas, comme précisé plus haut, la durée de conservation des données doit être renseignée systématiquement et doit refléter la réalité. Il n’y a pas de raison de conserver certaines données d’anciens agents qui ne sont plus en poste ou encore de candidats éconduits.

Pour ce qui concerne les données relatives à la rémunération comme le taux d’imposition, nécessaire pour la mise en place du prélèvement à la source, le consentement du salarié pour l’utilisation n’est pas demandé. Cela dit les collectivités n’ont pas l’autorisation d’utiliser ces données dans un autre contexte que celui du prélèvement à la source.

Le droit d’accès et de modification des données

Comme pour tout citoyen, le RGPD a donné aux agents de la fonction publique la possibilité d’accéder à leurs données et les modifier ou les rectifier. Ils disposent par ailleurs du droit à s’opposer à leur utilisation et peuvent disposer du droit à l’oubli. Afin d’entrer en conformité avec ces droits, les collectivités doivent donc recenser et répertorier les données dans un registre précis et complet, dans lequel tout agent peut accéder aux données qui le concernent et en demander une copie. Ce registre peut être sous forme papier ou accessible en ligne de façon sécurisée. Toutefois l’option papier est vouée à disparaître, dans la continuité de la transformation numérique de la fonction publique et pour des raisons de sécurité.

 

Quelle que soit le contexte d’utilisation des données relatives aux agents de la fonction publique territoriale, il est de la responsabilité des ressources humaines de communiquer sur la stratégie et la politique de gestion des données auprès des agents. De leur côté, les DSI doivent de leur côté assurer le soutien technique ainsi que le pilotage de la stratégie de gestion de données afin d’en assurer la pérennité.