The impact of the GDRP on human resources

04/06/2019 by Hicham HMICHE

RGPD

The new data protection regulations, which came into force on May 25, 2018, are not without impact for professionals. Understanding the provisions of the GDRP for Human Resources is necessary to process the personal data of the employees without deviating from the directives defined by this legal act. The following are the fundamentals applicable to the RGPD for human resources.

Establish a record of treatment activities

Did you know that the GDRP imposes the keeping a register of data processing ? The creation of this document gives you the opportunity to demonstrate to the competent authorities that The personal data of your employees are not abused.. This is not only a list of the processing operations entrusted to HR, but to provide details on what these operations are involve in concrete terms. The implementation of a treatment registry within the framework of the RGPD is done by answering the fundamental questions: who? Who? What? Why? Where? How? If the concept seems nebulous to you, base yourself on on the following details in order to comply with the GDRP.

In order to comply with the GDPR, the treatment register must therefore include details on the purpose of the process, the participants, the specific provisions for increased safety.
The HR department is often called upon to collaborate with the company's finance department and IT team. This collaboration allows us to judiciously answer the questions essential to the establishment of a register of treatment in accordance with the GDPR.

Would you like a free demonstration of our tool?

A complete and individual demonstration of our tool

I would like to book a demonstration

14-day trial

No credit card required ​

Organize an audit of subcontractors

Outsourcing of HR data is far from rare. There is also talk of delegating or outsourcing missions. This practice relieves the company's HR department of certain tasks such as :

The use of subcontractors is practiced by SMEs as well as large companies. Obviously, the assignments involve the processing and use of personal data. These external parties to the company are required to comply with the GDPR. It is your responsibility to audit subcontractors to ensure that the GDPR is properly applied.
The questions used to establish the data processing register are essentially the same as those to be asked to your subcontractors. Your ultimate goal as HR is to verify that the subcontractors have mastered good practices and are familiar with the GDPR. In the event of non-compliance with the regulations by these external stakeholders, the company may be held liable.
Remember that the RGPD is the same throughout the European Union. If the consultants are located outside the EU, it is imperative that you make sure that they are fully conversant with the directives stipulated in the RGPD.

Organize training for the HR team

Les métiers des RH sont multiples. Tous les membres de l’équipe n’accèdent donc pas forcément aux données personnelles des salariés. De la même manière, les données collectées, traitées et exploitées sont variables selon la nature précise des métiers. Dans certaines entreprises, la gestion de paie est confiée à une équipe tandis que les processus de recrutement sont confiés à une autre. Les formations vous offrent l’opportunité d’inculquer les bonnes pratiques à vos collaborateurs. Les mesures à adopter doivent garantir que les données traitées par une équipe ne seront pas accessibles aux autres, à moins que la légitimité de ce partage ne soit prouvée.

En plus des formations, il existe des habitudes simples qui contribuent au respect du RGPD. La mise en place de mots de passe sur les équipements informatiques est notamment envisageable. Le code en question peut éventuellement être communiqué à la direction des RH ou à un autre membre de l’équipe afin d’assurer la continuité des activités en cas d’absence de l’utilisateur principal du matériel.

Si cette option vous semble drastique, il est plus simple d’inciter vos collaborateurs à fermer systématiquement leurs sessions lorsqu’ils quittent leur poste de travail. Cette habitude est applicable en fin de journée, mais pas seulement. On ferme une session avant d’assister à une réunion (même en interne), pour la pause déjeuner, etc.
Vous l’avez compris, l’information et la formation de votre équipe sont indispensables au respect du RGPD

Prêter une oreille attentive aux salariés

Suivre le RGPD, c’est aussi être à l’écoute de vos collaborateurs. Depuis qu’il est en vigueur, il donne droit aux salariés de consulter les données personnelles qui les concernent. Ce droit est valable tant pour les salariés actuels que ceux qui ne font plus partie de l’équipe, et des postulants dont les candidatures n’ont pas été retenues.

Soyez attentif aux requêtes et apportez des compléments d’information si certains points sont incompris par les salariés. Néanmoins, vous êtes libre de fixer certaines limites. Les demandes ne doivent être ni abusives ni répétées.

N’hésitez pas à anticiper les questions en informant régulièrement les salariés sur vos pratiques. Soyez rassurant dans vos propos en mettant l’accent sur les précautions adoptées en vue de sécuriser les données personnelles.