échos SIRH

Lien >> 1995-2019 : 25 ans depuis la 1ére édition de Solutions Ressources Humaines.

La formation, un acteur qui intègre 4 catégories d’interlocuteurs :

• Internes au service formation,
• Internes à la DRH,
• Internes à l’entreprise,
• Externes à l’entreprise.

Un acteur privilégié pour qui les questions budgétaires n’étaient pas un sujet ; La preuve : « Chaque année, quelque 32 milliards d’euros sont dépensés pour former les adultes et les apprentis. »

Retouvez la suite de cet article sur le blog de NEWEXT-RH.

Vous avez dit « expérience collaborateur » ?

S’agit-il de l’expérience du collaborateur vu par le prisme de son cv ? Non.

Retouvez la suite de cet article sur le blog de NEWEXT-RH

Le prélèvement à la source (PAS) sera effectif au 1er janvier 2019. Les grands principes du dispositif sont connus, mais des interrogations demeurent.

Le portail du ministère de l’économie met à disposition un « KIT collecteur complet » qui a 3 vocations :

1-Présenter le prélèvement à la source

2-Expliquer le PAS

3-Communiquer auprès des salariés ou retraités 

Retrouver également « la gazette d’Alex » qui traite de ce questionnement sur le blog de NEWEXT-RH.

« Petite anaphore…

Le Cloud Computing a permis aux entreprises de toute taille d’accéder à des outils et/ou des solutions informatiques RH longtemps réservés aux grands groupes. 
Le Cloud Computing, essentiellement représenté par du SaaS (toutefois IaaS et PaaS croissent aussi), a été développé par des éditeurs qui voulaient proposer un autre modèle économique, mais aussi et surtout un modèle qui permet aux entreprises de s’affranchir des problématiques informatiques (matériels, systèmes).
Le Cloud Computing comme transformation/évolution logique des ERP d’hier. »

Retouvez la suite de cet article sur le blog de NEWEXT-RH.

« L’excellence opérationnelle et l’agilité sont les préoccupations des entreprises, elles passent par la maîtrise des processus internes. Les entreprises ont pris conscience de l’importance de ces processus et de leur traitement dans la transformation numérique qui est en cours. 

Cette modernisation renvoie à des concepts d’automatisation, de digitalisation, de pilotage de ces dits processus. »

Retouvez la suite de cet article sur le blog de NEWEXT-RH.

« Cette infographie est issue du groupe de travail « Quelle synergie et quel partenariat entre RSSI et DPO?  » du CLUSIF. Elle résume le Règlement Général sur la Protection des Données. Elle ne peut pas être exhaustive mais elle offre une grille de lecture graphique et synthétique pour découvrir la portée de la règlementation, puis s’y référer ultérieurement. »

Télécharger ICI l'infographie.

Retrouvez ces 20, 21 et 22 mars la 24^ème édition du salon des outils et services RH. Salon dédié aux dirigeants d’entreprises, Responsables des ressources humaines, des systèmes d’information.

En complément, à la veille de l’ouverture du salon des entrepreneurs, le Medef lance un nouvel outil diagnostic à destination des entreprises : Êtes-vous « RGPD friendly » ? Retrouvez ce questionnaire sur ce lien.

« La sécurité des données personnelles est un volet essentiel de la conformité à la loi informatique et libertés. Les obligations se renforcent avec le règlement général sur la protection des données (RGPD). Ce guide rappelle les précautions élémentaires à mettre en œuvre de façon systématique. »

Retrouvez avec ce lien, le guide publié ce jour par la CNIL. Guide qui rappelle les précautions élémentaires à prendre en compte.

Le secrétaire général de la CNIL, Jean LESSI, est venu préciser ses priorités, notamment :

• Achever au niveau du G29 (groupe des « CNIL » européennes) le travail d’harmonisation et d’interprétation des grandes notions/questions du RGPD,

• Accompagner les professionnels dans leur mise en conformité.

La CNIL proposera un « pack PME » qui sera disponible courant mars sur son site.

Le site de la CNIL met déjà à disposition des outils, à voir « les outils de la conformité », notamment les 3 guides PIA (Privacy Impact Assessment).

Retrouvez l’intégralité de l'échange avec Jean LESSI dans l’article de Solutions Numériques.

A lire aussi :

• Dossier « RGPD, Tout comprendre » par ZDNET
• RGPD : ENTRE PERCEPTION ET REALITE
• Auto-diagnostic RGDP : Etes-vous prêt ?
• RGPD : 7 mois pour vous mettre en conformité

Retrouvez sur le blog "We the Talent" De TALENTSOFT, un article sur les Datas et les RH.

« Data et Ressources humaines, deux visions, deux métiers, deux vocables étymologiquement, fonctionnellement, bien éloignés. »

La suite ici >>>  Datas & RH, la course poursuite se confirme

Une étude de l’APEC au travers de 10 ans d’offres d’emploi dresse une configuration de la fonction RH en termes de postes, compétences, missions. 

Fonction qui laisse apparaître 3 orientations :

• Opérationnalité versus stratégie : de l’administration à la notion de service
• Le recentrage sur l’humain, un enjeu de proximité : progression notable des « soft skills »
• Un glissement vers le mode participatif et collaboratif

« À six mois de l'entrée en vigueur du RGPD, Proofpoint a commandité une enquête comparative auprès de 1 500 décideurs informatiques du Royaume-Uni, de France et d'Allemagne pour répondre à trois questions essentielles :

• Comment les entreprises préparent-elles la conformité au RGPD ?
• Quel est l'état d'avancement de leurs plans de mise en œuvre ?
• Dans quelle mesure pensent-elles atteindre leurs objectifs d'ici mai 2018 ? »

Retrouvez ce rapport en téléchargement.

Nous avions déjà un certain nombre d’acteurs qui proposent un panorama des Solutions Informatiques RH.

Ci-dessous la liste des protagonistes :

•  APPVIZER
• CELGE
• COMPARATIF-LOGICIEL
• CXP
• MONSIRH
• QUELSOFT
• RHONDEMAND

 SIA-PARTNERS vient apporter sa pierre…A titre d’exemple, par >> Fonctionnalités.

Retrouvez sur le site de TaylorWessing, l'outil d'auto-diagnostic sur l'avancement de votre projet RGPD :

>> https://france.taylorwessing.com/fr/gdpr-assessment-tool

A voir le Webinar de Talentsoft "Prêt pour le RGPD ? RH, tout ce que vous devez savoir sur la nouvelle réglementation".

Extrait de l'actualité paie de ce mois de décembre : « Deux décrets (21 novembre 2016, n° 2016-1567, relatif à la généralisation de la DSN, et 9 mai 2017, n°2017-858, sur le calcul des cotisations et des contributions sociales) venaient modifier les règles en matière d’assiette et de taux des cotisations. »

En cette fin d’année 2017, payeurs, éditeurs, intégrateurs, étions sur les rangs pour la mise en place de ces chantiers...Lire la suite sur le blog de NEWEXT-RH. 

Initié en janvier 2012 par la Commission Européenne, le Règlement général sur la protection des données(RGPD) ou General Data ProtectionRegulation (GDPR) a été officiellement approuvé par le Parlement Européen en avril 2016.

Il s’agit d’un « règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ».

 Lors de son entrée en vigueur le 25 mai 2018, le RGPD constituera le nouveau texte deréférence européen en matière de protection des donnéesà caractère personnel. Il viendra remplacer les lois nationales. En France, il remplacera la loi informatique et libertés de 1978.

Quelques clés pour mieux comprendre...

A.     Plus de droits pour vos données en tant que citoyen

Le règlement renforce les droits des citoyens européens, leur donne plus de contrôle sur leurs données personnelles au travers de 6 axes :

1. « Des données à emporter : je peux récupérer les données que j’ai communiquées à une plate-forme et les transmettre à une autre (réseau social, fournisseur d’accès à internet, site de streaming, etc.) »,
2. « Plus de transparence : Je bénéficie de plus de lisibilité sur ce qui est fait de mes données et j’exerce mes droits plus facilement (droit d’accès, droit de rectification) », 
3. « Protection des mineurs : Les services en ligne doivent obtenir le consentement des parents des mineurs de moins de 16 ans avant leur inscription »,
4. « Guichet unique :  En cas de problème, je m’adresse à l’autorité de protection des données de mon pays, quel que soit le lieu d’implantation de l’entreprise qui traite mes données »,
5. « Sanctions renforcées :  En cas de violation de mes droits, l’entreprise responsable encourt une sanction pouvant s’élever à 4% de son chiffre d’affaires mondial »,
6.  « Consécration du droit à l’oubli : Je peux demander à ce qu’un lien soit déréférencé d’un moteur de recherche ou qu’une information soit supprimée s’ils portent atteinte à ma vie privée ».

B.     Ce qui change pour les professionnels

La RGPD poursuit ici 3 objectifs :

1. Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures,
2. Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants). A titre d’exemple, un client utilisateur d’une solution SIRH est un Responsable de Traitement. Son fournisseur, éditeur, est lui le Sous-Traitant,
3. Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

C.     Les sanctions

Les sanctions sont de deux ordres :

• Un simple rappel à l'ordre en cas de violation mineure,
• Pour les manquements les plus graves, le montant pourra atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Et de possibles poursuites en justice de vos salariés.

A ces sanctions, s’ajoute le risque de détériorer l'image de l'entreprise, de sa marque employeur.

7 mois pour vous mettre en conformité. Comment vous préparer au RGPD ?

La CNIL suggère 6 étapes :

ETAPE 1 : désigner un « Pilote »

Correspondant informatique et liberté, chef de projet, délégué à la protection des données, ou autre, vous aurez besoin de désigner un pilote, véritable chef d’orchestre, en charge de ce projet.

ETAPE 2 : Cartographier vos traitements de données personnelles

Il est indispensable de tenir un registre qui vous permettra de :

• Recenser les données personnelles impactées,
• Catégoriser ces données,
• Recenser les traitements associés,
• Motiver le pourquoi de ces opérations de traitements des données,
• Identifier les acteurs, internes et externes, qui traitent ces données. Clauses de confidentialités à revoir avec les sous-traitants,
• Recenser les flux indiquant l’origine et la destination des données. Identifier les éventuelles données qui pourraient circuler hors de l’Union européenne.

 ETAPE 3 : Prioriser les actions à mener

A partir de votre registre, vous devez vous :

• Assurer que seules les données utiles sont collectées,
• Identifier la base juridique de vos traitements (exemple : contrat, obligation légale…),
• Vérifier la conformité de vos sous-traitants,
• Prévoir les droits d’exercice des droits des personnes sur leur données et traitements (droit d’accès, de rectification, de portabilité, de retrait du consentement…),
• Vérifier les mesures de sécurité mises en place,

Attention particulière,

• Si vous traitez des données de type : racial, ethnique, opinion politique, religieuses, appartenance syndicale, santé, biométriques…
• Si votre traitement conduit à l’évaluation vous permettant de produire des décisions juridiques à l’égard d’une personne physique…
• Si vous transférez des données hors de l’UE.

ETAPE 4 : Gérer les risques

Dans le cas où des traitements de données pourraient engendrer des risques sur les droits et libertés, vous devrez mener une étude d’impact (PIA ou Privacy Impact Assessment).

Etude d’impact qui pourra identifier :

• Les « éléments à protéger » : minimiser les données, chiffrer, anonymiser, permettre l’exercice des droits, etc.
• Les « impacts potentiels » : sauvegarder les données, tracer l’activité, gérer les violations de données etc.
• Les « sources de risques » : contrôler les accès, gérer les tiers, lutter contre les codes malveillants etc.
• Les « supports » : réduire les vulnérabilités des matériels, logiciels, réseaux, documents papier etc.

ETAPE 5 : Organiser les ressources internes

Il vous impute de garantir la protection des données notamment en prenant en compte les évènements du cycle de vie des données et traitements. Vous devrez donc organiser ces processus.

Cette organisation nécessite de :

• Prendre en compte la protection des données dès la conception d’une application ou d’un traitement,
• Former, et/ou communiquer auprès de vos collaborateurs,
• Traiter les demandes des personnes, réclamations incluses,
• Anticiper et/ou notifier les éventuelles violations.

ETAPE 6 : Documenter la conformité

Il vous incombera de constituer un dossier documentaire pour prouver votre conformité au règlement sur le traitement de vos données personnelles.

Votre dossier devra comporter les éléments suivants :

1. La documentation sur vos traitements de données personnelles : 
   • Registre des traitements,
   • Analyses s’impact,
   • Encadrement des transferts de données
2. L’information des personnes,
3. Les contrats qui définissent les rôles et responsabilités des acteurs.

Quel Impact pour les RH ?

L’entreprise devient garante du respect de la vie privée. C’est à l’organisation de prouver qu’elle respecte bien le RGPD.

Une opportunité pour les RH autour de deux axes :

• Organiser, structurer, rationnaliser les données et les processus associés,
• Consolider la marque employeur.

Un simple fichier Texte ou Excel peut caractériser un traitement de données personnelles.

Les Directions Ressources Humaines sont détentrices et consommatrices de nombre de données personnelles.

Elles collectent, traitent, stockent les données des domaines :

• Du recrutement. Avec tous les éléments du processus (Cv, lettre de motivation, test, compte rendu d’entretien…),
• De l’administration du personnel (NSS, Contrat, adresse, RIB, situation de famille…),
• Des carrières (Compte rendu d’entretien, évaluation, formation…),
• De la paie (Bulletin de paie, déclaratif, éléments de STC…),
• De Gestion des Temps et Activité (Données de géolocalisation

Un grand nombre de chantiers sont à mettre en œuvre pour se conformer aux différents articles du RGPD :

Principes

• Article 6 - Licéité du traitement
• Article 7 - Conditions applicables au consentement

 Information et accès aux données à caractère personnel

• Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
• Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée

 Rectification et effacement

• Article 16 - Droit de rectification
• Article 17 - Droit à l'effacement (« droit à l'oubli »)
• Article 18 - Droit à la limitation du traitement

 Obligations générales

• Article 25 - Protection des données dès la conception et protection des données par défaut
• Article 28 - Sous-traitant
• Article 29 - Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant
• Article 30 - Registre des activités de traitement

Sécurité du traitement

• Article 32 - Sécurité du traitement

Analyse d'impact relative à la protection des données et consultation préalable

• Article 35 - Analyse d'impact relative à la protection des données

Délégué à la protection des données

• Article 37 - Désignation du délégué à la protection des données
• Article 38 - Fonction du délégué à la protection des données
• Article 39 - Missions du délégué à la protection des données

Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales

• Article 44 - Principe général applicable aux transferts
• Article 45 - Transferts fondés sur une décision d'adéquation
• Article 46 - Transferts moyennant des garanties appropriées
• Article 47 - Règles d'entreprise contraignantes
• Article 48 - Transferts ou divulgations non autorisés par le droit de l'Union
• Article 49 - Dérogations pour des situations particulières
• Article 50 - Coopération internationale dans le domaine de la protection des données à caractère personnel

Dernière minute

« Au 19 septembre 2017,

• Les lignes directrices sur la portabilité, le délégué à la protection des données et l’autorité chef de file sont définitivement adoptées,
• Les lignes directrices sur l’analyse d’impact sur la protection des données sont en voie d’adoption,
• Sont en cours d’élaboration, les lignes directrices sur la certification, la notification de violations de données personnelles, le consentement, le profilage.

Le G29 a organisera le 18 octobre 2017 à Bruxelles des ateliers collaboratifs portant sur les thèmes de la consultation, avec les représentants européens de la société civile, des fédérations professionnelles, des universitaires et des institutions européennes. »

À l’occasion de l’adoption par le G29 des lignes directrices définitives concernant les (D)PIA, la CNIL publie une infographie et une foire aux questions en français.

  D.     Texte officiel

• https://www.cnil.fr/fr/reglement-europeen-protection-donnees
• CCT https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne
• BCR https://www.cnil.fr/fr/bcr-la-cnil-facilite-les-formalites-liees-aux-transferts-internationaux-de-donnees
• Datawiz https://www.cnil.fr/fr/reglement-europeen-protection-donnees/dataviz

Par Thierry DUTRANOIS tdutranois@newext-rh.com le 17/10/2017

Expert SIRH chez www.newext-rh.com

Retrouvez lors de cette prochaine édition les experts de la fonction SIRH au travers de :

• 280 Exposants & Partenaires
• 300 Intervenants
• 120 Conférences & Ateliers

Inscription et programme ICI !