Si l’existence de logiciels permettant aux ressources humaines d’accomplir leurs activités quotidiennes n’est pas nouvelle, le développement des nouvelles technologies et l’essor du SaaS ont permis la naissance d’outils RH automatisés, complets et traitant un nombre important de données personnelles de salariés ou candidats.
Ces outils, en raison de la nature et de la quantité de données qu’ils traitent, doivent évidemment respecter le RGPD (à défaut, vous risquez une amende). Dune vous livre quelques éléments essentiels à vérifier.
Qualification juridique de l’éditeur de l’outil
Avant toute chose, il convient de qualifier juridiquement l’éditeur de l’outil aux termes du RGPD : intervient-il comme responsable du traitement, sous-traitant ou responsable conjoint ? Cette distinction est essentielle car elle détermine les droits et obligations de chacun.
Le plus souvent, les éditeurs des outils SaaS RH seront considérés comme des sous-traitants, car ils traiteront les données de vos salariés uniquement pour votre compte et conformément à vos instructions.
Localisation des données & sous-traitants ultérieurs
Que l’éditeur de l’outil RH soit ou non situé sur le territoire de l’Union Européenne, nous recommandons de vérifier la localisation des données.
En effet, un hébergement des données en dehors de l’Union Européenne par l’éditeur de l’outil RH entraînera plusieurs conséquences, notamment : la mise en place de garanties appropriées encadrant le transfert de données hors Union Européenne et l’information des salariés de ce transfert.
Il peut également arriver que l’éditeur de l’outil RH fasse lui-même appel à des sous-traitants « ultérieurs ». Dans ce cas, vous devez obtenir la liste complète de ces sous-traitants ultérieurs, car le sous-traitant doit obtenir votre autorisation écrite préalable pour recruter un sous-traitant ultérieur. Une telle liste vous permettra par ailleurs de mieux connaître la localisation des données et maîtriser les destinataires des données, et de vous opposer à tout changement de sous-traitants ultérieurs.
L’éditeur de l’outil RH devra vous fournir des garanties quant à ces sous-traitants ultérieurs.
Sécurité des données
L’outil RH étant amené à héberger les données personnelles de vos salariés, il est fondamental de vérifier les mesures de sécurité appliquées aux données par l’éditeur.
L’éditeur doit, en effet, présenter des garanties suffisantes en matière de sécurité des données. Pour cela, vous pouvez lui demander de vous transmettre la communication de sa politique de sécurité des systèmes d’information, ou de vous envoyer une liste des mesures de sécurité (tant techniques qu’organisationnelles) effectivement mises en œuvre.
Documentation de conformité et procédure d’assistance
Vous devez vous assurer que votre sous-traitant, éditeur de l’outil RH, respecte le RGPD.
En pratique, vous devez ainsi notamment vérifier que le sous-traitant dispose de son registre des activités de traitement réalisées pour votre compte et qu’il met à votre disposition toutes les informations nécessaires pour démontrer le respect de ses propres obligations au titre du RGPD.
Il est fortement conseillé d’auditer régulièrement votre sous-traitant afin de vérifier qu’il continue de respecter le RGPD tout au long de votre contrat car vous pouvez être considéré comme en partie responsable d’une violation du RGPD. Par exemple, dans le cadre de plusieurs violations de données, la CNIL a déjà sanctionné le responsable du traitement et son sous-traitant en raison du non-respect de leurs obligations respectives.
Le sous-traitant est par ailleurs tenu de vous assister afin que vous puissiez respecter vos propres obligations.
Encadrement contractuel du traitement de données confié à l’outil RH
Enfin, si l’éditeur de l’outil RH est effectivement considéré comme un sous-traitant, vous devez mettre en place un accord relatif à la protection des données.
Attention, le contenu de cet accord est très précisément encadré par le RGPD (et son article 28) qui prévoit les obligations contractuelles à y faire figurer, notamment : l’obligation pour le sous-traitant de respecter les instructions du responsable du traitement, l’obligation des salariés de l’éditeur de l’outil RH à conserver la confidentialité des données, la notification en cas de violation de données, etc.
Avant de conclure votre contrat avec l’éditeur de l’outil RH, vous devez vérifier que ces clauses sont présentes, et si tel n’est pas le cas, proposer votre modèle de clauses.
Last Dune tips : ces conseils peuvent vous servir en dehors de l’activité RH, pour le choix de tout outil permettant le traitement des données de votre société (données clients ou encore utilisateurs).