top of page
  • Photo du rédacteurÉquipe Amodo
    • 13 févr. 2023
    • 5 min de lecture

Sécurité des données et ROI: Pensez à purger !

Dernière mise à jour : 14 févr. 2023

L’immense majorité des acteurs économiques ont intégré l’importance de l’exploitation de la donnée. À une époque ou le stock de données n’a jamais été aussi important et ne cesse de croitre, il est primordial de maitriser la gestion et l’utilisation des informations disponibles. Une gestion optimale des données dans un SIRH devient un avantage compétitif majeur pour attirer et retenir les meilleurs talents. Nous abordons dans un autre billet l’importance de la qualité des données (SIRH et Gestion des données : bienvenue dans le Big data), et souhaitons discuter ici des enjeux de la conservation des données. Car si, bien utilisées, les données peuvent être une réelle richesse, trop en avoir n’est pas nécessairement souhaitable. Comme le dit l’adage, trop d’information tue l’information.




L’importance fonctionnelle


La première incitation à maitriser son stock de données dans un logiciel RH est fonctionnelle. On parle ici des données employées et aussi des données des candidats externes. Notons que ces dernières s’accumulent plus rapidement dans un SIRH et sont le plus à risque d’obsolescence rapide. Mais alors pourquoi supprimer des données qui sont parfois si difficiles à obtenir ? Deux principales raisons : qualité et performance.

Pour prendre l’exemple d’un SIRH pour le recrutement, les logiciels sont maintenant très performants et permettent de trouver les meilleurs profils pour un poste donné, selon une série de critères croisés de compétence, expérience, formation, localisation, motivation, etc. Mais la fiabilité des résultats de recherche d’un SIRH va directement dépendre de la qualité des données que l’on entre dans le logiciel, le meilleur des SIRH ne pourra pas donner de bons résultats si les critères de recherche s’appliquent sur une base de données dont la moitié des dossiers candidats n’a pas été mise à jour depuis 3 ans.

Ensuite la question de la performance se pose de plus en plus, au rythme de la progression du volume des données, en termes économique et technologique. Si les données sont virtuelles et stockées dans un nuage (le cloud), les organisations commencent sérieusement à intégrer que ces nuages sont d’immenses salles de serveurs qui sont couteuses en installation, maintenance, et énergie.

Et si l’argument de la performance économique ne vous convainc pas, celui de la performance technologique pourrait s’imposer de lui-même. Pour chaque recherche d’un candidat, ou d’un employé, réalisé depuis votre SIRH, le logiciel ira chercher dans la base de données les résultats correspondants aux critères de recherche. Ces requêtes peuvent être plus ou moins complexes, selon le nombre de variable, et nécessiter une grande capacité au logiciel RH. L’impact peut être considérable : pour une recherche identique le temps d’affichage des résultats peut varier dans une proportion de 1 à 15 selon le volume de données dans la base.



Confidentialité et droit à l’oubli


L’aspect légal et éthique de la conservation des données devient de plus en plus important. Au Canada, la loi sur la protection des renseignements personnels et les documents électroniques établit que toute entreprise est responsable de la protection des renseignements personnels qu’elle détient. Par renseignements personnels, on entend toute information se rapportant à une personne physique identifiée ou identifiable. Les organisations doivent donc prévoir l’encadrement applicable à la conservation et à la destruction de ces renseignements, et les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements.

Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP), récemment modifiée par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, apporte un cadre juridique très clair et contraignant pour la gestion des données personnels par les entreprises. Il est clairement établi que les données personnelles ne doivent pas être conservées indéfiniment, et que les entreprises doivent mettre en place des mécanismes d’anonymisation ou de destruction des données lorsqu’elles ne sont plus nécessaires à la poursuite des finalités pour lesquelles elles ont été collectées. Si la loi ne précise pas strictement une durée de conservation par typologie de données, il appartient à chaque organisation de mettre en place des processus de purge selon la durée d’inactivité et d’archive de la donnée. Il est également nécessaire d’offrir aux utilisateurs (employés ou candidats) la possibilité du consentement sur l’utilisation de leurs données, et de cesser leur traitement si le consentement est retiré.

À titre de comparaison, voici quelques exemples de durées maximales de rétention que nos voisins outre-Atlantique ont établi avec la Commission Informatique et Libertés (CNIL) :

  • Fichiers de recrutement : Possibilité de conserver le CV pendant 2 ans après le dernier contact avec le candidat si ce dernier a été dûment informé

  • Gestion de la paie : 5 ans à compter du versement de la paie, signifiant que l’employeur ne garde que 5 ans d’historique des bulletins de salaire

  • Gestion du temps de travail : Les éléments d’identification ne doivent pas être conservés au-delà de 5 ans après le départ de l’employé


En plus de se conforter à une obligation légale, le respect du principe de purge des données est également dans l’intérêt de la sécurité de l’entreprise : aussi longtemps que l’entreprise conservera les données, parfois inutiles ou obsolètes, celle-ci encourra le risque d’être victime d’une attaque informatique et d’une fuite de ses données.



Le modus operandi


Les entreprises doivent très clairement identifier un responsable de la donnée qui sera en charge de définir les règles de conservation, d’accès et de destruction de la donnée, fonction éminemment pluridisciplinaire. Si la durée de conservation est un sujet aux contours légaux et fonctionnels RH, la question des accès à la donnée dans le SIRH et des mécanismes d’archivage et de destruction revêtent un niveau de technicité à ne pas négliger.

Les habilitations et accès dans le système devront être définis dès la phase projet. En phase d’exploitation, l’attribution d’un accès à un employé ou la création d’un nouveau niveau d’habilitation (rôle utilisateur) doit être encadré par un processus clair et confié à un référent identifié.

Pour la suppression des données, il est important d’intégrer la notion technique de fonctionnement d’une base de données. Effacement des données ne vaut pas écrasement ou destruction. L’effacement dans une base de données est en pratique quasiment impossible dès lors que les données ont fait l’objet de références ou de copies internes. Il faut plus parler de réécrire des données en lieu et place pour garantir la disparition des données précédentes, c’est la notion d’anonymisation. Ce volet très technique doit être pris en charge par les experts des technologies de l’information.

Enfin, lors de la sélection de votre prochain SIRH, il est important d’identifier avec l’éditeur de logiciel les fonctionnalités et services offerts par la solution RH pour garantir une utilisation sécuritaire des données. Voici quelques exemples de questions à se poser:

  • Le SIRH permet-il d’archiver et de supprimer les données, automatiquement et manuellement, à la fin de leur durée de rétention tel que défini par des règles de calculs configurables?

  • Le logiciel permet-il d’informer les employés et candidats du traitement de leurs données (message d’acceptation lors de la candidature, lien dans un courriel renvoyant vers un site interne mettant à disposition le règlement applicable sur les données, etc.)?

  • Quelles sont les fonctionnalités permettant d’obtenir le consentement des employés et candidats sur l’utilisation de leurs données, et de cesser leur traitement si le consentement est retiré ?

  • Comment la solution permet-elle de gérer les demandes des utilisateurs pour l’accès aux données, la suppression, ou la limitation du traitement ?

  • Dans quel pays seront hébergées les données ? Est-ce que l’éditeur de logiciels a des employés au dehors du Canada qui interviennent pour le support ou la maintenance ?


Souvent négligée en phase de déploiement d’un nouveau SIRH, les questions de conservation et de destruction des données sont centrales. Une gestion rigoureuse des données contribue à un retour sur investissement optimale de son SIRH et s’impose de plus en plus aux organisations par un cadre légal et une attente sociétale. Si vous avez un doute sur la sécurité de la gestion de vos données, ou si votre organisation n’a pas de processus clair sur la conservation, l’accès et la destruction des données, il est certainement temps de faire un audit.



71 vues0 commentaire

Posts récents

Voir tout

Réussir ses entrevues de recrutement

Les articles sur les entrevues de recrutement ne manquent pas, et l’immense majorité d’entre eux donnent des conseils très pratiques sur comment réussir une entrevue de recrutement : la règle du 80/20

SIRH et Gestion des données : bienvenue dans le Big data

Intelligence artificielle, analyse prédictive, data lake, data warehouse… La liste des concepts pour traiter de la collecte et l’exploitation des données est longue, le sujet est incontournable et rep

3 clés pour recruter vos talents experts en SIRH

La fonction SIRH en entreprise est relativement récente (moins de 20 ans) et les conséquences sont nombreuses. L’une d’entre elles : les spécialistes du recrutement ne se sont pas encore adaptés à ce

bottom of page