Au cœur de l’usage de l’application Andjaro, il y a le traitement des données RH. La sécurité des données et la conformité RGPD sont donc des enjeux forts pour Andjaro et ses clients. Henri de la Motte Rouge, associé du cabinet Touati - La Motte Rouge Avocats, et délégué à la protection des données (DPO) externalisé de Andjaro, vous explique notre démarche pour que tous nos clients soient conformes à la législation.
Aujourd’hui, quels sont les enjeux du RGPD pour la fonction RH ?
En matière de ressources humaines, l'employeur est responsable du traitement des données vis-à-vis de ses collaborateurs. À ce titre, il doit mettre en œuvre les moyens techniques et organisationnels pour garantir l’accès et la sécurité des données des collaborateurs qu’il collecte et traite et leur bonne information à ce sujet. L’employeur doit donc avoir une vision précise de la manière dont sont traitées les données dans son organisation. Il doit documenter et cartographier les traitements dans un Registre, ainsi que les mesures adéquates mises en place pour s’assurer de leur bonne conformité, ce qui suppose d’établir des procédures internes. Lorsqu’il fait appel à des sous-traitants, le responsable de traitement doit être en mesure de s’assurer que ces derniers sont des tiers de confiance et assurent un niveau de conformité au moins équivalent. Sur tous les traitements et particulièrement en cas de déploiement de nouveaux projets, l’employeur doit aussi fournir une information légale complète aux salariés concernés et mettre en œuvre des procédures d’exercice des droits d’accès ou de rectification efficaces.
Il en va de la licéité du traitement et de son opposabilité, notamment en cas de mesure disciplinaire prise à l’encontre d’un collaborateur. Le défaut de conformité au RGPD peut également être lourdement réprimé. Il est d’ailleurs très important d’associer tous les partenaires de l’entreprise. Ainsi, lors du déploiement d’un projet ITRH, le CSE doit être informé et consulté. En effet, en vertu de l'article L2312-38 du Code du travail, les questions intéressant l'organisation, la gestion et la marche générale de l'entreprise, notamment sur l'introduction de nouvelles technologies font parties de ses attributions.
Il est intéressant de remarquer que si le RGPD prévoit des droits pour les salariés, ils ont aussi des devoirs : la conformité et la sécurité des données de l’entreprise pèse sur eux. C’est généralement pour cela que l’utilisation des outils est encadrée par une charte informatique et qu’il est nécessaire de développer une culture RGPD au sein de l’entreprise, via des formations et sensibilisation.
En résumé, la conformité RGPD de la gestion des données RH est un sujet large qui doit être systématiquement pris en considération dans la gestion RH et pour la mise en place de nouveaux outils. Il est important de désigner des pilotes et responsables en charge de la gouvernance de la donnée.
En quoi Andjaro répond favorablement à ces enjeux du RGPD ?
Andjaro, en sa qualité de prestataire de services, est considéré contractuellement comme un sous-traitant de données personnelles, c’est-à-dire qu’Andjaro traite les données de ses clients pour leur compte et sous leur responsabilité. Ce statut impose donc une forte exigence à la hauteur de la confiance de ses clients qui confient des données dont Andjaro devient le garant.
Les contrats contiennent les engagements spécifiques. Ainsi, chaque client sait :
- quelles données vont être utilisées,
- dans quel but,
- dans quelle finalité,
- et de quelle manière.
Andjaro est parfaitement transparent sur la manière dont sont traitées les données, y compris lorsqu’elle fait appel à des sous-traitants ultérieurs pour certaines fonctionnalités de l’application. Dans ce cadre, chaque sous-traitant a été soigneusement sélectionné en fonction de sa conformité RGPD. Andjaro a également mis en place des procédures internes pour faire face à d’éventuels incidents relatifs aux données et maintenir leur disponibilité.
Pouvez-vous préciser qui a accès à quelles données en utilisant l’application Andjaro ?
Seules quelques personnes clairement identifiées dans l’effectif du client ont accès à l'outil Andjaro. Il y a bien sûr le personnel RH, mais aussi les managers directs des collaborateurs qui vont être échangés en prêt de personnel ou en mission à travers la plateforme. Ces personnes sont regroupées au sein de profils spécifiques. La procédure mise en place permet de vérifier que la personne qui se connecte accède seulement à ce dont elle a besoin, conformément à ses attributions et au principe de minimisation.
Par exemple : un profil « manager », identifié comme tel, se connecte avec un identifiant mot de passe ou un système d'authentification sécurisée unique. En ce cas, il voit uniquement les collaborateurs de son propre site et ne verra pas les collaborateurs des voisins ni les informations dont il n’a pas besoin.
Quant aux collaborateurs, si leur employeur client a décidé du déploiement de l’application mobile, ils ont accès à leurs informations personnelles. Potentiellement, ils peuvent les modifier, indiquer qu’ils se rendent disponibles ou choisir leur mission. Préalablement, comme je le disais tout à l’heure, toute information sur le sujet passera d’abord par le CSE.
De manière opérationnelle, comment se déploie la conformité RGPD entre un client et Andjaro ?
Les engagements contractuels pris par Andjaro correspondent à un haut standard de conformité. Tout commence avec la signature d’un accord « Protection agreement ». Il s’agit d’une convention sur les données où tous les engagements nécessaires pour traiter les données de manière conforme et sécurisée sont pris. Si le client le souhaite, il peut procéder à un audit afin de vérifier le respect de ses engagements dans l’application. Puis, le client consulte son CSE. Une fois l’accord des représentants du personnel donné, le client met à jour son registre de traitement des données, avec une fiche dédiée à l'application Andjaro où sont détaillés :
- les catégories de personnes qui sont concernées par l’outil
- les catégories de données collectées
- la durée de conservation des données
- les destinataires
Le client procède également à l'information légale des collaborateurs. Concrètement, il s’agit d’une annexe au contrat de travail ou d’une note de service qui informe chaque collaborateur concerné des traitements opérés avec l’application. Il explique aussi les différents droits attachés pour que ces étapes se déroulent en toute sérénité.
Andjaro dédie une équipe aux enjeux RGPD afin d’appuyer et d’aider le client de manière opérationnelle. Des groupes de travail sur les échanges de données sont mis en place afin de s’assurer que ce qui est fait correspond bien aux éléments du contrat. S’il y a des changements, des modifications au « Protection agreement » peuvent être ajoutées. Il s’agit souvent des données qui n’ont pas été prévues ou exclues au contrat, et qui se révèlent indispensables pour un bon usage de l’application.
C’est ici que notre rôle de DPO (délégué à la protection des données) externalisé prend tout son sens. Notre cabinet dispose d’une expertise indépendante qui permet d’accompagner chaque client, quelles que soient sa taille et sa maturité RGPD, sur le respect de la conformité convenue avec l’intégration de l’application.
Notre mission est d’ailleurs beaucoup plus large. L’application du RGPD est un processus dynamique, qui demande des vérifications régulières y compris en matière de Recherche et développements sur l’application dans une démarche active de “privacy & security by design”. Elle exige aussi une sensibilisation régulière des collaborateurs d’Andjaro pour s’assurer que la culture RGPD de l’entreprise qui fait sa force, demeure toujours une priorité.
Merci à Henri de la Motte Rouge et à son équipe pour ce témoignage.