Bénéfices de la paie en ligne

Le nouveau Règlement Européen pour la Protection des Données (RGPD) entre en application le 25 mai 2018. Les entreprises doivent donc se mettre rapidement en conformité pour éviter les sanctions (jusqu'à 4% du CA). Dirigeant de PME, l’imminence de l’entrée en application du RGPD vous angoisse ? Voici 6 étapes clés pour organiser votre mise en conformité et gagner un temps précieux.1. DESIGNER UN RESPONSABLE DU CHANTIER RGPD Pour piloter la gouvernance des données personnelles de votre structure, vous devez designer une personne qui se charge d'organiser tous les actions à mener. Véritable "chef d'orchestre"de la protection des données traitées par l'entreprise, il est l'élément pivot pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux. Ses principales missions sont:de diffuser en interne de l'information sur les contenus des nouvelles obligations; de sensibiliser les décideurs sur l'impact de ces nouvelles règles à tous les niveaux; de réaliser l'inventaire des traitements de données de l'entreprise; de concevoir des actions de sensibilisation pour les salariés; de piloter la conformité en continu.Dans certains cas, le nouveau règlement européen impose même l'obligation de designer un DPO (délégué à la protection des données ou Data Protection Officer). C'est les cas pour les organismes publics par exemple. Mais votre entreprise doit le faire aussi si son activité de base l'amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites "sensibles" (afférentes à la santé, à la religion etc.) ou relatives à des condamnations pénales et à des infractions.Si vous avez déjà nommé un correspondant informatique et libertés (Cil), vous pouvez faire monter ce dernier en compétences. D'autres options : recruter une personne dédiée ou externaliser cette fonction auprès de prestataires spécialisés.Enfin, même si votre organisation n'est pas formellement dans l'obligation de désigner un DPO, il est fortement recommandé de désigner un responsable pour ce chantier structurant, disposant de relais internes et chargé de s'assurer de la mise en conformité au RGPD (les étapes suivantes). 2. CARTOGRAPHIER LES TRAITEMENTS DE DONNÉES PERSONNELLES La seconde étape consiste à mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez. A cette fin, il faut passer en revue l’ensemble des traitements de données personnelles, informatisées ou non (archives papier), issus des différentes activités de votre entreprise : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients et prospects etc. Il s’agit en fait d’identifier tous les processus concernés par le RGPD afin d'avoir une vision d'ensemble sur vos traitements de données.Ce travail préliminaire servira à élaborer un registre des traitements des données qui pourra être demandé à tout moment par l'autorité nationale pour la protection des données, la Commission nationale de l'informatique et des libertés (Cnil) en France. Ce registre est placé sous la responsabilité du dirigeant de l'entreprise.Pour avoir un registre exhaustif et à jour, dans ce-ci vous devez créer une fiche pour chaque activité recensée, en précisant :la finalité de l'action (par exemple, la fidélisation client); les données utilisées (exemple pour la paie : nom, prénom, NIR, salaire etc.); qui a accès aux données (les différents services / salariés de l'entreprise); la durée de conservation des données du point de vue opérationnel et en archive.3. ÉTABLIR UN PLAN D'ACTIONS Sur la base de ce registre des traitements, un plan d'actions doit être mis œuvre. Votre entreprise doit identifier les actions à mener pour vous conformer aux obligations actuelles et à venir et profiter de ce nouveau règlement pour améliorer les pratiques en interne. Elle doit notamment :engager des travaux informatiques pour la sécurisation des données les plus critiques de type anonymisation ou chiffrement; revoir les modalités d'exercice des droits des individus concernés, du recueil du consentement ou de mettre en œuvre le "droit à l’oubli"; redéfinir les droits d'accès : s'assurer que seules les personnes habilitées ont accès aux données dont elles ont besoin; minimiser la collecte de données, automatiser l'archivage au bout d'une certaine durée dans toutes les applications et ne pas conserver des données au-delà de qui est nécessaire.Toutes ces actions doivent être priorisées au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées. Ce travail peut souvent entraîner une révision en profondeur de la politique de confidentialité de l'entreprise.Par ailleurs, la conformité concerne aussi les sous-traitants et les partenaires de l'entreprise, co-responsables au regard du RGPD. Les contrats fournisseurs devront comprendre une clause précisant leurs nouvelles obligations et responsabilités. Cela concerne également les prestataires basés hors de l’Union Européenne s’ils gèrent des données de citoyens européens. 4. MENER UNE ÉTUDE D'IMPACT Une des premières actions à mettre en œuvre si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées c'est de mener, pour chacun de ces traitements, une analyse d'impact sur la protection des données (PIA pour Privacy Impact Assessment). Il s'agit également d'une action venant en complément de la cartographie des données : après avoir recensé tous vos traitements de données personnelles, vous calculez ensuite leur niveau de conformité en les soumettant à une étude d’impacts.Bon à savoir : la Cnil indique cependant que, « dans un souci de simplicité et d’accompagnement », elle n’exigera pas la réalisation immédiate d’une analyse d’impact pour les traitements qui ont régulièrement fait l’objet d’une formalité préalable auprès d’elle avant le 25 mai (récépissé, autorisation, avis de la Cnil), ou qui ont été consignés au registre d’un correspondant informatique et libertés. 5. DÉFINIR LE CADRE DE GOUVERNANCE ET LES PROCESSUS Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.Il s'agit donc d'inscrire votre plan d'actions dans la durée. Pour cela, il convient de mettre en place la gouvernance spécifique visant à garantir l’intégrité des données que vous traitez tout au long du processus, de la collecte à sa suppression. Quelques questions à vous poser dans ce sens :Comment assurer le plus haut niveau de protection dès la conception d’un nouveau traitement (le principe "privacy by design" du RGPD) ? Comment seront traitées les demandes des personnes faisant valoir l’exercice de leurs droits ? Quelle est la chaîne de responsabilités en cas de fuite de données sachant qu’en principe la Cnil doit être alertée sous 72 h ?Ce cadre de gouvernance implique également la mise en place de procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement de données personnelles. Il faut définir les acteurs et les modalités pour chaque processus. 6. SENSIBILISER LES COLLABORATEURS À LA PROTECTION DES DONNÉES La notion de respect de la vie privée doit être partagée par tous les salariés de l'entreprise. Une partie très importante de la préparation au RGPD est la sensibilisation de vos salariés. Ils travaillent tous au quotidien avec des données potentiellement sensibles. Il faut donc leur rappeler que même un simple fichier Excel contenant des contacts constitue un traitement de données personnelles. Ils doivent pouvoir prendre en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (exemple : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire etc.).Pour garantir un haut niveau de protection des données personnelles en permanence il convient donc de construire un plan de formation aux nouvelles obligations introduites par le RGPD pour tous vos collaborateurs. Un plan de communication définissant notamment comment la remontée d'information sera organisée devrait également être établi.

[...]

Initialement évoquée par la ministre des Solidarités et de la Santé, Agnès Buzyn, une deuxième journée de solidarité  (travaillée non-payée) pour financer la dépendance, a été jugée comme « une piste intéressante » par le président de la République.JOURNÉE DE SOLIDARITÉ : RAPPEL DE CONDITIONS Instaurée par la loi du 30 juin 2004, la journée de solidarité relative à la solidarité pour l'autonomie des personnes âgées et handicapées consiste en une journée de travail supplémentaire, en principe non rémunérée pour les salariés. Elle a été instituée en vue d’améliorer le degré et la qualité de prise en charge des personnes confrontées à des situations de grande dépendance. Pour les employeurs, elle c’est une nouvelle contribution (la «contribution solidarité autonomie»), destiné à financer des actions en faveur de l'autonomie des personnes âgées ou handicapées.Initialement, la loi prévoyait que faute d'accord, cette journée soit le lundi de Pentecôte. Depuis 2008, ce n’est plus le cas. La journée de solidarité peut être fixée par l’employeur un jour férié précédemment chômé autre que le 1er mai. Il lui faudra un accord d'entreprise ou de branche.En matière de paie, dans la limite de 7 heures de travail, il n’existe  pas de rémunération supplémentaire ou de perte de salaire. DEUXIÈME JOURNÉE DE SOLIDARITÉ NON PAYÉE Le principe du lundi de Pentecôte travaillé pour financer l’accompagnement des personnes âgées et des handicapés vient d’être réédité par la ministre de la Santé. La piste de « deux lundis de Pentecôte travaillés » a été évoquée lors de l’invitation de Jean-Jacques Bourdin sur RMC, jeudi 12 avril.Celle-ci a été jugée comme intéressante par Emmanuel Macron, qui a déclaré que ça pourrait être une option. « C'est une piste. Est-ce que ça a bien marché la dernière fois ? Je ne suis pas contre, je pense que c'est une piste intéressante, il faut la regarder».Cette mesure fera l’objet d’un débat sociétal, notamment avec les élus » et pourrait être proposée « d’ici la fin de l’année ».

[...]

Suite à l’apparition du CSE, la base de données économique et sociale (BDES) a dû s’adapter. Dorénavant, les modalités de fonctionnement de la BDES ainsi que son architecture vont relever de la négociation collective. A défaut d’accord portant sur la BDES, quel sera donc son nouveau contenu?BDES : RAPPEL DE CONDITIONS La BDES, le nouvel outil du dialogue social,  centralise  les informations à communiquer aux représentants du personnel pour les entreprises de plus de 50 salariés. La BDES permet la mise à disposition des informations nécessaires aux 3 consultations récurrentes. Celles-ci sont les orientations stratégiques de l’entreprise, la  situation économique et financière de celle-ci ainsi que la politique sociale, les conditions de travail et l'emploi.Le contenu de la  BDES doit comporter au moins les thèmes de l'investissement social, matériel et immatériel, des fonds propres, de l'endettement, de l'égalité professionnelle entre les femmes et les hommes au sein de l'entreprise. La BDES doit aussi contenir la rémunération des financeurs, les flux financiers à destination de l'entreprise, l'ensemble des éléments de la rémunération des salariés et dirigeants, les activités sociales et culturelles. CONTENU DE LA BDES APRÈS LES ORDONNANCES MACRON La BDES n’est obligatoire qu’au niveau de l’entreprise et pas du groupe. Suite au décret n° 2017-1819 du 29 décembre 2017, elle doit être à jour au plus tard au moment de l’élection des élus au CSE.Le Gouvernement souhaite améliorer la structure de la BDES pour en faire le principal support de transmission d’information aux représentants des salariés.Les rubriques de la BDES apparaîtront plus détaillées, les  grandes thématiques étant bien sûr conservées. Cependant, les rubriques  « sous-traitance » et «  transferts commerciaux et financiers entre les entités du groupe » pourront être exclus.Les principaux changements du contenu de la BDES concernent les investissements, l’égalité professionnelle, les représentants du personnel, les partenariats ainsi que les transferts commerciaux et financiers entre les entités du groupe.Le focus est mis sur la transformation, l’amélioration ou le renouvellement des méthodes de production et d’exploitation ainsi que sur l’impact de ces mesures sur les conditions de travail et d’emploi.

[...]