Entré en vigueur il y a un peu plus d’un an, le RGPD a renforcé la législation sur la protection des données à caractère personnel et sur les traitements qui les utilisent. La mise en place de ce nouveau cadre juridique n’aura pas été un long fleuve tranquille pour de nombreuses Directions des Ressources Humaines. L’occasion de faire un point avec Claudine Baverez, Directrice Produit Gestion des Temps chez Horoquartz.
Claudine, un an après la mise en place du RGPD, où en êtes-vous chez Horoquartz ?
« Nous avions anticipé la mise en œuvre de ce nouveau cadre juridique et préconisé à nos clients quelques précautions et bonnes pratiques pour se mettre en conformité lors de l’instauration du RGPD. Concernant nos solutions, nous avions réalisé certaines évolutions nécessaires pour la mise en œuvre de la mesure. Néanmoins, certaines modifications étaient très structurantes. Le droit à l’oubli prévu à l’article 17 du RGPD par exemple nécessite de pouvoir effacer totalement les données personnelles d’un salarié à sa demande. S’il est relativement facile de supprimer ses données individuelles, ce collaborateur peut aussi avoir été un manager qui a ‘signé’ avec son matricule des corrections faites sur ses propres collaborateurs. Par exemple, nous enregistrons à des fins de traçabilité l’identifiant de l’utilisateur qui a effectué des corrections de pointages ou des validations de demandes d’absences. Cette traçabilité est très appréciée, autant par les services RH que par les employés eux-mêmes qui peuvent à tout moment voir qui a effectué les modifications les concernant. C’est un élément clé de transparence. Mais cette fonctionnalité implique qu’un identifiant est stocké quelque part. Au-delà de supprimer les données individuelles de ce manager, il faut aussi pouvoir ‘anonymiser’ l’identifiant qui lui était associé. Cette fonctionnalité est désormais disponible dans la version 5.5 d’eTemptation. »
Et concernant la gestion des historiques ?
« Les applications de gestion des temps ont la particularité de pouvoir conserver sur des historiques longs toutes les données relatives aux badgeages, temps de présence, éléments variables de paie et absences des salariés. Ces données sont fréquemment conservées sur la durée de la période de prescription des salaires mais peuvent l’être au-delà. Or, le RGPD prévoit qu’une donnée personnelle ne peut être conservée sans raison au-delà de ce qui est strictement nécessaireou défini par la législation. Pour assurer la conformité au RGPD, et pour ce qui concerne notre solution eTemptation, l’utilisateur peut définir un délai paramétrable de rétention des données de l’employé. Au-delà de ce délai, les données individuelles sont automatiquement supprimées pour les historiques mais également – et c’est ce qui est nouveau – pour la fiche de l’employé. Le traitement d’anonymisation décrit plus haut est également effectué. Le service RH est donc déchargé de tout traitement manuel à ce sujet et grâce à cet automatisme, on est sûr que rien n’a été oublié. »
Dans les applications de gestion RH, il y a fréquemment la possibilité de créer des données personnalisées. Comment encadrez-vous cette possibilité ?
« C’est une question fondamentale en effet. Il est très pratique de pouvoir créer des données personnalisées dans une application de GTA. Mais le RGPD prévoit qu’un traitement de données à caractère personnel doit avoir un objectif, une finalité, c’est-à-dire qu’il n’est pas possible de collecter ou traiter des données personnelles au cas où cela aurait une utilité un jour. Désormais, si un administrateur crée une donnée dans le dictionnaire de notre application, il est clairement averti qu’il doit s’assurer au préalable de la conformité de cette donnée avec le RGPD. D’autre part, certaines données que nous avions par défaut auparavant dans l’application sont désormais inactivées en standard et il est de la responsabilité de l’administrateur de s’assurer de leur conformité avant de les activer. Il y en a très peu dans les faits, ce sont des données liées à une situation éventuelle de handicap. Ce type d’information peut être utile dans le système de gestion des temps pour l’organisation de visites médicales ou pour proposer des horaires aménagés ou s’assurer de la bonne gestion des droits en conséquence de cette situation. Le but est donc louable, mais en raison du caractère sensible des données de santé vis-à-vis du RGPD nous avons préféré que ces données ne soient pas activées par défaut, ce que nos clients apprécient. Cette approche a un autre mérite : elle amène à s’interroger sur l’utilité de telle ou telle information dans le système et elle oblige aussi à veiller aux accès possibles et nécessaires à cette information. »
Je crois que vous abordez ce sujet lors de prochains événements ?
« Oui, toutes ces fonctions liées au RGPD seront présentées lors des 3 événements 2h2p que nous organisons à Paris, Lyon et Nantes en Septembre et Octobre 2019. Mais nous y parlerons aussi de nombreuses nouveautés disponibles avec la version 5.5 de notre solution eTemptation. »
Source : https://www.blog-gestiondestemps.fr/rgpd-et-gestion-des-temps-quoi-de-neuf/