La protection des données dans les processus RH

Prévoyez-vous d’avoir un enfant dans un avenir plus ou moins proche? C’est la question classique qui brûle la langue de tout recruteur patenté. La réponse est non, c’est bien connu. Car le fait de sonder le désir de maternité d’une candidate n’est pas autorisé par la Loi sur la protection des données. Poser la question est déjà considéré comme discriminatoire. Sans parler du degré de véracité plutôt faible qu’il faut attendre de la réponse (même si une femme désire avoir un enfant, ce n’est pas sûr que son vœux sera exaucé). Tournés de cette manière, les pièges liés à la protection des données dans les processus RH prennent un bel éclat. En voici d’autres, tout aussi édifiants. 

Recrutement. De la publication de l’offre d’emploi à l’engagement d’un nouveau collaborateur, les pièges sont nombreux. CV et un dossier de candidature doivent toujours être retournés à leur propriétaire en cas de non sélection. Si le candidat est sélectionné, son dossier devra être exclusivement consulté par le département des ressources humaines et son supérieur direct. 

Durant l’entretien d’embauche, mis à part la question du désir d’enfanter, les consignes sont strictes. En principe, seules les questions visant à déterminer si la personne répondra aux exigences du poste sont autorisées. Si le recruteur quitte sa ligne, le candidat est en droit de taire la vérité. A préciser qu’un postulant qui dissimule ou falsifie des faits importants, liés au poste qu’il convoite, risque lui aussi des poursuites. Finalement, tout dépendra du job visé. Un banquier, à qui on va confier des grosses sommes d’argent, devra montrer patte blanche. Un pilote de ligne doit s’attendre à des questions sur sa consommation d’alcool ou de stupéfiants. 

Prendre des renseignements auprès des anciens employeurs est aussi délicat. Pour le faire, le recruteur doit obtenir le consentement du candidat. Pareil pour l’ex-employeur, sans le feu vert du candidat, rien ne devrait filtrer. 

Les tests de recrutement et autre assessment doivent être effectués par des professionnels. Car l’évaluation doit fournir des résultats objectifs et fiables. Les candidats ont le droit d’être informés clairement quant aux objectifs recherchés et aux liens avec le poste en concours. Les candidats sont aussi en droit de refuser de tels tests, si ces informations ne lui sont pas fournies. Enfin, une synthèse des résultats doit être accessible. 

La mise en œuvre de questionnaires médicaux au moment du recrutement a récemment fait l’objet d’une polémique en Suisse romande. L’avocat et syndicaliste Jean-Michel Dolivo avait passablement échauffé une porte-parole de Procter & Gamble lors d’un Journal régional de la TSR. Il estimait que les tests médicaux à l’embauche permettaient à la firme de sélectionner les candidats en bonne santé. La porte-parole lui a répondu que le détail du rapport médical n’était pas dévoilé au recruteur. Seul le médecin d’entreprise, lié au secret de fonction, avait accès. Ce qui nous amène au prochain processus RH particulièrement sensible. 

Dossiers médicaux. En termes de protection des données, le management de la santé est un vrai casse-tête. Et bien des zones grises demeurent. Le cas récent des CFF le montre bien. En mars 2007, la presse suisse a révélé que le transporteur effectuait des tests systématiques relatifs à la consommation de drogue de leur personnel de moins de quarante ans. Les personnes testées avaient des responsabilités liées à la sécurité. Et la compagnie avait justifié son action par son souci de sécurité justement. Dans les faits, les CFF ont profité d’un flou juridique. Et le Préposé fédéral à la protection des données et à la transparence (PFPDT) leur a adressé une série de recommandations. Le principe des tests pour raison de sécurité a été approuvé. Mais si le comportement des employés durant leur temps libre n’affecte en rien la sécurité des CFF, les résultats des tests ne doivent pas faire l’objet d’un traitement ultérieur. A cette fin, la compagnie a dû fixer des valeurs (taux d’alcoolémie ou de drogue dans les urines) en rapport aux risques sur la place de travail. 
En 2000, la société pharmaceutique Hoffman La Roche s’était fait taper sur les doigts par le PFPDT pour avoir effectué des dépistages systématiques aux drogues à ses apprentis. La mesure avait été jugée discriminatoire. Pourquoi les apprentis et pas les autres? Ces deux exemples montrent bien la finesse avec laquelle les RH doivent empoigner le dossier de la santé. 

Et cette préoccupation démarre en général au moment de l’engagement. Quand l’employé sera affilié à sa nouvelle caisse de pension, l’assureur exigera un test médical. Pour éviter toutes dérives, ce sont les médecins d’entreprise ou des médecins indépendants qui s’en occupent. L’assureur et le supérieur direct ne verront que l’appréciation finale. A moins que le candidat accepte que le secret médical soit levé. Ce qui est une pratique courante dans les méthodes de «Case management». Dans ces processus, le collaborateur, atteint gravement dans sa santé, autorise son médecin à détailler le contenu de son dossier avec le «Case manager». Ce dernier, qui est tenu au secret professionnel, pourra ensuite établir des stratégies pour remettre le collaborateur en scelle. La nouvelle loi sur l’AI va également dans ce sens puisqu’elle prévoit une plus forte collaboration entre médecins, employeurs et employés. 

Evaluations annuelles. Passage obligé de tous les salariés, les évaluations annuelles sont un autre terrain glissant en matière de protection des données. En principe, l’entretien doit avoir lieu en tête à tête, avec le supérieur direct. Pour des raisons pratiques évidentes, mais aussi pour préserver la sphère privée de l’employé. Une fois rédigé, le rapport de l’évaluation doit être conservé sous pli fermé dans le département des ressources humaines. Le conseiller RH n’est autorisé à traiter que le résultat final de l’évaluation ainsi que des éventuelles informations de nature administrative, telles que les indications liées à la formation ou à la fixation d’un salaire au mérite. Et comme c’est souvent les finances qui règlent les salaires, le RH transmettra uniquement l’appréciation finale. 

Pour montrer que les évaluations annuelles ne sont pas sans risque, un exemple s’impose. La Poste suisse avait l’habitude d’évaluer ses chauffeurs de car postaux en envoyant des observateurs déguisés en civil. Comme ni la date du contrôle, ni l’identité du contrôleur étaient communiquées, la pression psychologique sur les chauffeurs avaient considérablement augmenté. Finalement, le PFPDT est intervenu. Ces contrôles inopinés sont autorisés (c’est une pratique courante dans le secteur des transports publics). Mais ils doivent être annoncés aux collaborateurs. Et la période durant laquelle ils seront effectués ne doit pas dépasser quatre semaines. 

Administration. Et voici en vrac quelques chausse-trappes classiques pour les administrateurs. La publication des salaires de tous les employés de la société (une pratique plutôt anglo-saxonne) doit se faire avec le consentement des employés concernés. Savoir combien touche son collègue est considéré comme une atteinte à sa sphère privée. 
La gestion des absences pose également quelques problèmes. Des panneaux répertoriant toutes les personnes présentes (et donc aussi les absents) sur la place de travail sont tendancieux. Ces systèmes peuvent entraîner des questions du type: où est-il encore aujourd’hui celui-là? Des interrogations qui empiètent clairement sur la zone rouge. 
Les questions d’expatriation sont tout aussi délicates. En Europe, les lois des différents pays sont grosso modo d’un niveau équivalent. Ce qui simplifie passablement le processus. Le problème se pose quand le collaborateur s’expatrie vers un pays qui ne dispose pas de législation en matière de protection des données. C’était longtemps le cas des Etats-Unis, champions toute catégorie des libertés individuelles. Ce problème ne se pose plus depuis quelques années. Les USA ayant signé un accord. 
Une pratique courante dans les multinationales est de rassembler toutes les données importantes sur un seul site. Mais si cet endroit est situé dans un pays qui ne dispose pas de législation en matière de protection des données (l’Inde par exemple), le cas devient compliqué. 

Enfin, au moment de la fin des rapports de travail, l’employé est en droit de recevoir un certificat de travail de la part de ses supérieurs hié-rarchiques. Il pourra également indiquer quelles sont les personnes qui seront autorisées à donner des informations à ses futurs employeurs. Le dossier du collaborateur devra être conservé entre cinq et dix ans par son ex-employeur, avant d’être restitué ou détruit.

Quant à toutes ses données informatiques, elles seront effacées au plus tard au jour du départ de l’employé. Toutefois, on devra offrir à l’employé la possibilité de copier ses documents de nature privée sur un support privé avant de procéder à l’effacement.