Dossier CIR et RGPD font-ils bon ménage ?

CIR et RGPD : de multiples services impliqués dans l’entreprise

La constitution d’un dossier CIR, tout comme le RGPD, sont des sujets transversaux dans les entreprises. Ils requièrent la participation de quasiment l’ensemble des services (RH, financiers, R&D, etc.). Ces derniers manipulent tous sans exception des données à caractère personnel.

Mais déjà, il serait utile de rappeler ce qu’est une donnée à caractère personnel, à savoir “Toute information se rapportant à une personne physique identifiée ou identifiable”. Cette dernière pouvant être identifiée grâce à un nom, un e-mail, un numéro d’identification, des données de localisation, un identifiant en ligne, ou également un ou plusieurs éléments spécifiques propres à son identité physique, économique, culturelle, génétique, sociale…

Les données personnelles dans un dossier CIR

Partant de ce constat, la constitution d’un dossier CIR rentre donc intégralement dans le giron de la mise en conformité avec le RGPD car il comporte de nombreuses données à caractère personnel.

Citons ici celles que l’on rencontre le plus souvent dans un dossier CIR : les diplômes, les CV, les temps passés et “pointés”, les feuilles de paie et la DADS ; et de manière plus anecdotique : les factures, les brevets, les coordonnées des prestataires, les coordonnées des personnes présentes dans l’état de l’art, etc.

Certains services sont, il est vrai, plus impactés par la RGPD. On pense ici notamment aux RH qui fournissent un document central pour un dossier CIR et sur lequel on va dédier une section dans cet article : la fiche de paie.

La fiche de paie : un document central au coeur de toutes les attentions

La fiche de paie regorge de données personnelles (nom, prénom, coordonnées, numéro de sécurité sociale, adresse personnelle …) et est au coeur d’un dossier CIR. Même si elle n’a pas vraiment de données dites “sensibles” au sens de la CNIL (https://www.cnil.fr/fr/definition/donnee-sensible), il n’empêche que son traitement en terme de RGPD demande une grande attention.

Après avoir posé ces éléments, on pourrait (légitimement) se dire “quelle complexité…comment bien gérer tout cela ?”…

Pas de panique pour autant ! Les actions à mettre en place sont néanmoins bien établies. En voici les principales.

Tenir et maintenir un registre de données personnelles et des traitements RH associés

On ne va pas paraphraser la CNIL, elle l’explique très bien sur son site et vous propose même un modèle de registre en téléchargement (https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles). Il faudra donc mettre à jour ce registre dès que de nouvelles données seront traitées.

En faisant cela, vous pourrez plus facilement répondre à ces questions :

• Quelles sont les données de nos collaborateurs que nous possédons ?
• Dans quels fichiers apparaissent-elles ?
• Comment sont-elles traitées ?
• Sont-elles bien protégées ?

Si vous arrivez à répondre facilement à ces questions, c’est que votre registre est sur de bons rails !

Informer votre DPO (ou la personne en charge du RGPD chez vous) des données personnelles que vous stockez/utilisez pour le dossier CIR

Chaque donnée faisant l’office d’un traitement à part entière, il est important, dans le cadre de la constitution d’un dossier CIR, de signaler les données personnelles qui sont utilisées à votre DPO (Délégué à la Protection des Données). Il sera ensuite plus aisé de supprimer si besoin les données liées à ce traitement précis.

S’assurer de la bonne conduite de vos prestataires en matière de RGPD

Vous utilisez des solutions de prestataires externes pour la gestion de vos RH, de vos finances, de votre marketing ?
Ou plus précisément pour la constitution du dossier CIR, vous communiquez par échanges de fichiers avec votre cabinet de consultants, votre expert-comptable ou votre fiscaliste ? (Ce qui est la norme on est bien d’accord…)
Vous êtes donc dans l’obligation de vérifier qu’ils sont bien en conformité avec le RGPD. En d’autres termes, qu’ils appliquent les mêmes règles que vous vous êtes fixés et qui sont listées ici même.

Certaines actions sont désormais à proscrire : l’envoi par simple mail de documents contenant des données personnelles est à bannir. Préférez utiliser des méthodes de stockage et d’envoi sécurisées. Des solutions de cryptage de documents sont à préconiser également.

À titre d’information, LabOxy a anticipé le RGPD depuis plusieurs mois et propose aujourd’hui une plateforme en totale conformité avec le RGPD pour ses clients.

Limiter dans le temps la conservation des données personnelles

Certainement le point le plus “sensible” concernant le CIR et le RGPD. Qu’elles soient internes à l’entreprise (salariés) ou externes (prospects, clients, fournisseurs…), les données personnelles collectées doivent être limitées dans le temps. L’occasion pour faire le ménage, aussi bien physique que digital dans les archives, les mails, les entretiens d’objectifs, les évaluations de collaborateurs…et les feuilles de temps. La CNIL le précise bien : « une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de conserver les données et elles doivent être supprimées » (https://www.cnil.fr/fr/limiter-la-conservation-des-donnees).

Or, dans le cadre d’un dossier CIR, il est capital par exemple de “fournir la copie du diplôme le plus élevé de chaque personne déclarée, à défaut un CV ou un relevé de compétences ou une fiche de poste actualisé(e). Également fournir une copie de la fiche de paie de décembre de chaque année contrôlée.”

Dans ce cas, comment fixer une “bonne limite” ? Qu’est-ce qu’un “délai raisonnable” de conservation de données ?

Sans avoir la science infuse sur ce sujet, nous considérons chez LabOxy que dans le cadre d’un dossier CIR, les données personnelles doivent DANS TOUS LES CAS être conservées au moins 4 ans. Pourquoi ? Car le délai de reprise de l’administration (appelé également délai de prescription fiscale) s’exerce jusqu’à la fin de la troisième année qui suit celle du dépôt de la déclaration. 4 ans s’avère donc le grand minimum pour ce type de données si vous ne voulez pas faire face à d’éventuelles déconvenues…

On précise donc bien “grand minimum” car se posent néanmoins quelques questions en matière de conservation des données liées aux obligations légales. Un exemple parmi d’autres : la durée légale de conservation d’un contrat et/ou correspondance avec un fournisseur ou un client est de 5 ans. Il y a donc de bonnes questions à se poser en matière de conservation des données :

• Ai-je des obligations légales de conserver les données pendant un certain temps ?
• Dois-je conserver certaines données en vue de me protéger contre un éventuel contentieux ? Lesquelles ?
• Jusqu’à quand puis-je faire valoir ce recours en justice ?
• Quelles informations doivent être archivées ? Pendant combien de temps ?
• Quelles sont les règles de suppression des données ?
• Quelles sont les règles d’archivage des données ?

Tenir informés et former les collaborateurs

Le RGPD impacte les comportements de chacun en matière de traitement des données personnelles et donc des fichiers qui en contiennent. Il est important pour les collaborateurs de savoir et comprendre désormais quel est le système que vous avez mis en place. Des documents d’information et des supports de formation sont donc à réaliser afin de répondre à ces besoins. Vous pourrez ainsi si vous le souhaitez intégrer un point plus spécifique sur les données liées au CIR si vous êtes une entreprise qui réalise chaque année un dossier CIR.

On pourrait en dire encore beaucoup sur l’impact du RGPD vis-à-vis des infos liées au CIR. Mais si vous respectez cette to do list, vous pourrez être déjà satisfait de vous !

Et en cas de demande du dossier CIR complet par l’Administration ? Dois-je vérifier si cette dernière est conforme à la RGPD ? Ou bien si la DRRT ou les experts du Ministère de la Recherche veulent des documents ?
Excellente question ! Et nous n’avons aucune réponse. L’histoire nous le dira et n’hésitez pas à nous en faire part par e-mail.