Tour d’horizon par Optimex Data des mises à jour au niveau des ressources humaines, avec quelques règles et recommandations à suivre pour les DPO.
Actualité DPO : Focus sur les ressources humaines
Pour donner suite à des mises à jour au niveau des ressources humaines, nous souhaitons vous faire part de quelques règles et recommandations à suivre. Cette mise au point s’accompagnera d’éventuelles mises à jour sur vos registres des traitements et/ou sécurité physique et informatique. Votre DPO vous indiquera la marche à suivre en fonction de vos besoins.
Quels sont les traitements relatifs aux ressources humaines à renseigner dans le registre des traitements ?
Recrutement | Gestion des intérimaires |
Gestion administrative du personnel | Gestion de la santé, médecine de prévention et du travail |
Gestion des formations | Gestion des aides sociales directement mises en œuvre par l’employeur |
Gestion du SIRH | Gestion de l’allocation d’aide au retour à l’emploi (ARE) |
Gestion de la restauration collective |
Si certains traitements sont réalisés par vos soins hormis « gestion du recrutement », « gestion administrative du personnel » et « gestion des formations » qui sont déjà renseignés dans vos registres de traitements, nous vous prions de nous en faire part lors de nos prochains rendez-vous afin que l’on puisse effectuer cette mise à jour.
Quelles sont les deux façons de supprimer les données et/ou documents ?
La suppression des dossiers numériques doit faire l’objet d’un effacement sécurisé en utilisant un utilitaire type « eraser ». La mise en corbeille n’est pas considérée comme une suppression définitive des documents.
La destruction des documents « papier » doit être fait à l’aide d’un broyeur certifié classe 3 de la norme DIN 32757. Si vous faites appel à un prestataire, un certificat de destruction sera nécessaire.
Quelles sont les durées de conservation au niveau RH ?
Une clarification des durées de conservation a été effectuée. Vous trouverez quelques exemples ci-dessous. Votre DPO effectuera les modifications, si nécessaire, sur les registres des traitements afin de prendre en compte cette évolution.
- Concernant le dossier du salarié: celui-ci est conservé le temps où le salarié est dans l’entreprise et cinq (5) ans à compter du départ de ce dernier. Exception pour les collectivités territoriales soumises à l’arrêté du 21 décembre 2012 et au décret n°2011-675 du 15 juin 2011.
- Concernant le CV des salariés: celui-ci est conservé pendant la durée nécessaire aux opérations de recrutement augmentée de la période d’essai du candidat retenu. Ensuite, il est archivé deux (2) ans à compter de la fin de la période d’essai du candidat retenu. Bien évidemment, vous pouvez conserver le CV cinq (5) ans à compter de la révélation d’une discrimination. Exception pour les collectivités territoriales soumises à l’arrêté du 21 décembre 2012 et au décret n°2011-675 du 15 juin 2011.
- Concernant le bulletin de salaire: celui-ci est conservé un (1) mois en base active (dans les bureaux par exemple), ensuite il est conservé cinq (5) ans en format numérique ou cinquante (50) ans si le bulletin est déposé sur une plateforme dématérialisée. En cas de versement de l’aide à l’emploi, les bulletins devront être conservés dix (10) ans. Exception pour les collectivités territoriales soumises à l’arrêté du 21 décembre 2012 et au décret n°2011-675 du 15 juin 2011.
Quels documents peut contenir le dossier du personnel ?
Une clarification a été apportée quant au contenu du dossier du personnel. En effet, celui-ci peut contenir uniquement les informations suivantes : fiche de renseignements complétée par le salarié, photocopie de la pièce d’identité (une pièce d’identité uniquement), permis de séjour ou de travail, contrat de travail et avenants, attestation signée de remise du règlement intérieur, justificatif d’inscription à une autre mutuelle que celle de l’entreprise, attestation signée de la charte de bon usage des ressources informatiques, annexe de l’engagement de protection des données, annexe signée concernant la validité du permis de conduire, consentement de droit à l’image, fiches des entretiens annuels et professionnels et carte grise pour remboursement des frais kilométriques uniquement si le salarié utilise son véhicule.
En revanche, il ne doit pas contenir les informations suivantes : la photo du permis de conduire, la fiche d’inscription à la mutuelle et à la prévoyance complétée par le salarié et le CV après la période d’essai mais vous avez la possibilité de faire un CV professionnel interne pour le conserver.
Quelles informations peuvent être collectées sur la fiche de renseignements ?
Concernant la fiche de renseignements à l’embauche, celle-ci peut contenir les informations suivantes : état civil, adresse postale, email (option), téléphones (option), nationalité, numéro de sécurité sociale, numéro de permis de conduire, la préfecture et la date de délivrance et les personnes à prévenir en cas d’accident.
En revanche, elle ne doit pas contenir les informations suivantes : toute information d’ordre médicale mais possibilité de prévoir un document cacheté à remettre au SAMU par exemple ainsi que les informations concernant les membres de la famille (date de naissance, NIR, employeur, etc…)
Comment vérifier les informations du salarié ?
Afin de vérifier le numéro de sécurité sociale, la copie de la carte vitale doit être demandée. Lorsque la DPAE est envoyée, les inscriptions à la mutuelle et prévoyance ont été réalisées, la copie de la carte vitale doit être détruite.
Afin de vérifier les informations liées au permis de conduire : le salarié doit montrer le permis de conduire. Aucune copie ne doit être conservée.
Afin de vérifier l’inscription à la mutuelle et prévoyance, il est possible de collecter les bulletins complétés par le salarié, puis de les envoyer ou les saisir sur l’interface mis à disposition par ces organismes. Une fois l’inscription confirmée, ces bulletins doivent être détruits et aucune copie ne peut être conservée.
Comment échanger des documents avec le salarié ?
Tout échange de document complété par messagerie personnelle est donc proscrit. Si le service ressources humaines demande au salarié de lui envoyer un document par e-mail, la responsabilité de l’employeur sera engagée en cas de violation de données.
De même, le fait de demander de déposer des documents dans le casier du courrier (non sécurisé) est proscrit si des instructions claires n’ont pas été communiquées. Ex : les documents doivent être dans une enveloppe cachetée avec le nom du destinataire et une mention « confidentiel »
Les documents complétés, liés au dossier du personnel, doivent être collectés en main propre ou via une plateforme de dépôt sécurisée.
Nous souhaitons attirer votre attention sur le fait qu’une procédure d’archivage et de suppression des données peut être demandée par la CNIL en cas de contrôle.