Comment sécuriser les données RH à l’heure du Saas ?

Dans le cadre de leur mission de gestion des ressources humaines, les services RH créent des bases de données nominatives pour l’ensemble des salariés de l’entreprise. Ces données sont ensuite exploitées, au niveau individuel ou collectif, pour recruter, former, gérer les postes, les carrières, la mobilité, les rémunérations, mesurer les indicateurs sociaux, évaluer les compétences, exploiter les outils décisionnels, réaliser la paie, gérer les temps…

Nature et finalité des données RH

Les informations stockées par les entreprises sont non seulement variées, mais également sensibles, voire confidentielles : état civil, coordonnées, situation matrimoniale, diplômes, immatriculation aux différents organismes ou régimes de cotisation, rémunération, informations bancaires, évolution professionnelle, éléments de carrière, aménagement du temps ou du poste de travail pour raisons de santé…

La sécurité des données RH

Les conditions d’exploitation, la sécurité de l’hébergement et de l’accès à l’ensemble des données RH et la garantie de leur confidentialité, doivent être les premières préoccupations de tout employeur, quelle que soit son activité ou son organisation. Pourtant, les évolutions technologiques ont souvent été plus rapides que leur maîtrise par les entreprises, qui utilisent encore des systèmes disparates. Cela peut conduire à des données éclatées, réparties, dupliquées, et pose la question de leur sécurité, a fortiori dans un contexte de stockage mixte entre serveurs internes et externes.

Les données restent la propriété des salariés

Une fois ces données collectées, les services des ressources humaines ne doivent pas oublier que ces données appartiennent avant tout aux salariés concernés. C’est d’ailleurs ce que nous rappelle le succès actuel des coffres forts électroniques, dans lesquels sont regroupées toutes les données RH d’un salarié, et dont la clé reste sa propriété exclusive, même après son départ de l’entreprise.

Le cadre du traitement et de l’utilisation des données RH à caractère personnel

Des directives européennes s’appliquent aux données relatives aux salariés, notamment la directive 95/46/CE, qui constitue le texte de référence en matière de protection des données à caractère personnel.

Ce texte précise, outre leur usage loyal, que les données à caractère personnel doivent être collectées de façon explicite, justifiée et légitime. Elles doivent être régulièrement mises à jour et utilisées avec l’accord exprès de la personne concernée, qui dispose d’un droit de rectification, de suppression, de limitation d’accès et de notification aux tiers auxquels les données ont été transmises.

Concernés en premier lieu et contraints de fait à communiquer des informations personnelles dans le cadre de leur activité professionnelle, les salariés doivent pouvoir être assurés de la fiabilité des procédures RH et de la responsabilité de leur employeur envers ces données. Il incombe donc directement aux entreprises de mettre en place des solutions informatiques garantes du respect de l’individu et du cadre légal.

Source :
Directive 95/46/CE du Parlement européen et du Conseil http://ow.ly/q8pjx