En mai 2018, le RGPD, Règlement Général sur la Protection des Données est entré en vigueur en France et en Europe. Les modifications apportées par ce dernier ont été nombreuses et ont concerné de très nombreux secteurs d’activité, y compris la paie. Pour vous, Opaylink revient sur les effets du RGPD sur les bulletins de paie de vos salariés.
3 informations importantes à connaître sur le RGPD
- Il s’agit d’un règlement européen créé en 2018 pour mieux protéger les données personnelles des citoyens
- Il est différent de la loi française Informatique et Libertés qui existe toujours
- Le prestataire de paie doit assurer la protection des données utilisées pour éditer les bulletins de paie de vos salariés
RGPD et externalisation de la paie
Comme beaucoup d’entreprises, vous avez fait le choix d’externaliser la paie de vos salariés pour la confier à des gestionnaires professionnels. Il est alors légitime de vous interroger sur le traitement et le stockage sécurisé des données de vos salariés par ce prestataire. Depuis l’entrée en vigueur du RGPD, les gestionnaires comme Opaylink ont l’obligation de vous informer des règles appliquées aux bulletins de paie de vos collaborateurs. Durée de conservation, accès à l’information, droit à la suppression… Voilà quelques exemples des indications dont vous devez disposer pour assurer la sécurité des données de la paie.
Attention, la conformité RGPD et bulletin de paie s’applique également aux stagiaires, vacataires et plus généralement à tous les salariés permanents ou temporaires de votre entreprise. En d’autres termes, quel que soit le type de contrat de travail, les mêmes règles s’appliquent concernant la protection des données. Mais rassurez-vous, avec Silaexpert, tout est sécurisé !
Droits d’accès, de rectification et « droit à l’oubli » des salariés
De leur côté, vos salariés peuvent à tout moment demander l’accès ou la rectification de ses données personnelles. Un ancien salarié peut également appliquer son “droit à l’oubli” dès qu’il n’entretient plus aucun lien avec l’entreprise qui l’employait. En cas de contentieux toujours en cours, les données peuvent continuer à être stockées en toute légalité.
La CNIL a tenu à rappeler aux employeurs qu’ils sont tenus de “respecter à la fois le RGPD et la loi informatique et liberté” qui permettent de régir l’ensemble des règles liées aux données des salariés, quel que soit le type de contrat de travail signé.
RGPD et bulletin de paie : les différentes finalités
Le 15 avril 2020, un référentiel de la CNIL portant sur les finalités du règlement en paie était officiellement publié au Journal officiel. Au total, 11 traitements différents sont listés et concernent les services RH des entreprises et les cabinets d’expertise comptable. Les voici :
- le recrutement ;
- la gestion administrative des personnels ;
- la gestion des rémunérations et les formalités administratives associées ;
- la mise à disposition d’outils professionnels ;
- l’organisation du travail ;
- le suivi des carrières et de la mobilité ;
- la formation ;
- la tenue des registres obligatoires et les rapports avec les instances représentatives du personnel ;
- la communication interne ;
- la gestion des aides sociales ;
- et enfin, la réalisation des audits, gestion du contentieux et du précontentieux.
Toujours selon ce référentiel officiel, le traitement de données mis en œuvre doit “répondre à un objectif précis et être justifié au regard des missions et des activités de l’organisme”.
Les informations sensibles d’un bulletin de paie
C’est seulement une fois que le contrat de travail est officiellement signé par l’employeur et le salarié que vous êtes autorisé à stocker ses données afin de répondre à vos exigences légales (déclarations sociales et fiscales par exemple).
Toutes les informations permettant d’identifier un salarié sont jugées sensibles au regard du règlement. Il s’agit notamment de son identité (nom, prénom), de son adresse postale, de son numéro de Sécurité sociale, ou encore sa date de naissance.
Pour émettre un bulletin de salaire, le gestionnaire de paie doit disposer d’informations concernant le salarié. A cela s’ajoute toutes les informations relatives à ses primes, ses congés payés, son taux d’imposition au prélèvement à la source, etc. En résumé, tous les éléments d’une fiche de paie doivent être protégés dans le cadre du RGPD.
Quant au bulletin lui-même, qu’il soit en version papier ou dématérialisé, est un document personnel et confidentiel qui, s’il est stocké, doit faire l’objet d’un traitement spécifique conformément au règlement général. Sa durée de conservation doit être précisée au salarié ainsi que les différents traitements possibles des données. Attention, le salarié doit expliciter son consentement en signant un document sur lequel vous l’informez de la finalité de la collecte d’informations, du stockage ou encore de l’exploitation. Il doit être pleinement conscient de votre politique RGPD et bulletin de paie.
RGPD et accès aux informations
Un accès sur-mesure doit être créé pour les personnes habilitées à accéder aux données personnelles stockées. Les gestionnaires de paie et le service RH sont majoritairement concernés en raison de leurs missions. Le salarié doit en revanche être mis au courant de l’identité des personnes et services ayant l’autorisation de consulter et traiter les informations.
Enfin, sachez qu’un salarié en poste ou déjà parti peut vous solliciter pour obtenir la copie d’un bulletin de salaire, le relevé de son compte épargne temps (CET) ou encore les email envoyés via une messagerie professionnelle. Tous ces éléments doivent donc être stockés précieusement et de façon sécurisée pour, en cas de besoin, être communiqués aux personnes demandeuses.
Sensibiliser et former les collaborateurs au RGPD
Avant d’être salariés de votre société, vos collaborateurs sont avant tout des citoyens. Ils font un usage plus ou moins intense du web, ont tendance à s’inscrire pour recevoir des newsletters ou des offres commerciales. Toutes ces actions menées dans le cadre privé sont régies par le règlement. En tant qu’employeur, vous avez un véritable rôle à jouer dans la sensibilisation de vos équipes à ce règlement qui nous concerne tous. N’hésitez pas à les impliquer dans des ateliers, à organiser des webinars pour lever les doutes et répondre aux questions de vos équipes.
Concernant les salariés, les employeurs doivent mettre à jour les notes d’informations sur la finalité du traitement des données, les personnes qui ont accès aux éléments stockés ou encore la durée de conservation. Ils doivent aussi disposer des coordonnées des personnes en charge de ce dossier pour pouvoir le contacter si besoin.