Article mis à jour le 29/10/2013

Cloud Computing et SaaS sont deux évolutions technologiques majeures qui bouleversent les Systèmes d’Information des entreprises. Pour les besoins de cet article nous avons interviewé des spécialistes pour répondre à la question « quid de la base de données RH dans ce contexte ? ».

Qu’est-ce qu’une base de données RH et quels sont les types de données RH concernées ?

Pour les besoins de l’exercice de leurs missions, les professionnels de la fonction RH sont amenés à créer et à exploiter des données nominatives, dans un objectif de gestion individuelle et/ou collective.

Selon le CXP, les domaines fonctionnels concernés sont le recrutement, la formation, la gestion des postes et du référentiel de compétences, la gestion des évaluations, la gestion des rémunérations et de la masse salariale, la gestion des carrières/mobilité, les outils du décisionnel, la gestion de paie et la gestion des temps. Les données sont quantitatives mais une gestion de plus en plus qualitative est un véritable besoin commun à toutes les entreprises.

Au-delà des numéros de sécurité sociale, des prénoms, des noms, des adresses, des situations familiales, des coordonnées téléphoniques, des informations bancaires, du salaire brut, des primes perçues, des diplômes… les professionnels de la fonction RH, mais également les managers, sont amenés à collecter et exploiter des informations relatives à la carrière des individus : dates et conclusions des entretiens individuels, nature et niveau des connaissances et compétences, dernières formations suivies…

L’ensemble de ces données constituent ce que l’on appelle communément la base de données RH, une richesse de l’entreprise aussi précieuse que les individus qui la constituent. Cette base de données, quelle que soit son format, sa taille, son contenu est unique et appelée à évoluer quotidiennement, au gré des entrées/sorties, changements de solution de gestion, etc.

Les questions de sécurité de son hébergement et de l’accès à celle-ci, de qualité de son exploitation, de confidentialité des données qu’elle contient, sont inhérentes à toute base de données RH et sont des préoccupations communes à toutes les entreprises (selon des degrés variables selon la culture et l’activité de l’organisation).

A ce propos, Frédéric Charles, Responsable de la stratégie des systèmes d’information, Lyonnaise des Eaux (Suez-Environnement) rappelle que l’image du SI RH (Système d’Information en Ressources Humaines) a été complètement revue au cours de ces dernières années. Puisque l’ERP véritablement intégré, complet et  disponible en mode SaaS (Software as a Service) n’existe pas encore, les entreprises disposent actuellement d’un patchwork de systèmes développés en mode SaaS. Les données RH ont été dupliquées et les bases de données ont été éclatées, morcelées et démultipliées, pour les besoins du fonctionnement des différentes applications en mode SaaS, qui cohabitent désormais au sein de la plupart des entreprises. Les données sont donc fractionnées entre les plateformes internes et externes.

A ce propos, Frédéric Charles, indique qu’une fois ces données informatisées, certains professionnels des ressources humaines oublient parfois que les données restent la propriété des salariés et non pas celles de l’entreprise. Si les coffres forts électroniques (qui sont par définition dans le Cloud) connaissent actuellement un franc succès et que leur clé est remise aux salariés, c’est justement parce que leur contenu est la propriété des salariés. En cas de départ de l’entreprise, le coffre-fort du salarié est alimenté de tous ses fichiers, documents et informations. (Plus d’informations sur ce sujet dans Coffre-fort électronique : quels enjeux ? Par Yaël Cohen-Hadria, Avocat. http://ow.ly/q5u6d)

Matthieu Laudereau, Directeur Associé, ConvictionsRH signifie que certains professionnels des RH semblent encore méconnaître les directives européennes qui s’appliquent aux données traitées par des moyens automatisés (base de données informatique de clients, par exemple) ainsi qu’aux données contenues ou appelées à figurer dans un fichier non automatisé (fichiers papiers traditionnels).

La directive 95/46/CE  (source : Directive 95/46/CE du Parlement européen et du Conseil http://ow.ly/q8pjx) constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Cette directive encadre l’usage des données à caractère personnel qui doivent notamment être traitées loyalement et licitement, collectées pour des finalités tant déterminées, qu’explicites et légitimes. Ces données doivent en outre être exactes et, si nécessaire, mises à jour. Leur traitement personnel ne peut être effectué que si la personne concernée a indubitablement donné son consentement ou si le traitement est légitime et nécessaire. L’information des traitements effectués doit être fournie par le responsable du traitement aux personnes concernées. Toute personne concernée dispose du droit de rectification (notamment en raison du caractère incomplet ou inexact des données), d’effacement ou de verrouillage des données (dont le traitement n’est pas conforme à cette directive), ainsi que celui d’obtenir la notification de ces modifications aux tiers auxquels les données ont été communiquées.

Frédéric Charles et Matthieu Laudereau considèrent tous deux que l’efficacité des processus RH et, l’intelligence collective, reposent sur le partage des informations de la Direction des Ressources/Richesses Humaines vers les managers. A condition, bien sûr, que les solutions informatiques permettent cela, dans le respect des individus et du cadre imposé par la CNIL et les directives Européennes.

Etat de l’hébergement des données en France en 2013 et rappels historiques

Selon Claire-Marie de Vulliod, Senior Analyst, CXP, la fonction RH, et en premier lieu la gestion de la paie, est particulièrement sensible à la recherche d’économies et de rationalisation des coûts, en particulier sur des tâches chronophages et à faible valeur ajoutée. Cela passe par différents modes et modèles d’externalisation et le recours à des services dont les variantes sont nombreuses, comme en témoigne la multiplication des concepts : SaaS/cloud, infogérance, CSP, FAH, TMA, services de traitement, on premise, on demand….

Les solutions de gestion de la paie ont été les premières à développer une approche SaaS (Software as a service). Tout laisse croire aujourd’hui que pour leurs éditeurs, cette approche sera plus qu’une simple option, et finalement un passage obligé.
Source : Dossier de recherche – SAAS/CLOUD – Maîtriser le SI placé dans le Cloud http://ow.ly/qa8bR

• 51% des éditeurs en #GRH proposent à la fois du #SaaS et du mode #licence (source Étude @CXP)
• 34% des éditeurs #RH sont full #SaaS dixit @CMDVulliod du @CXP #obsirh pic.twitter.com/b5mEPJBi32
• Full #SaaS ? #SaaS ? #ASP ? Différents niveaux de services, mutualisation et agilité permettent de s’y retrouver (étude @CXP)
• #obsirh par @CMDVulliod 16% des éditeurs logiciels #RH sont encore irréductibles du mode licence

Selon Frédéric Charles, le fait que la promesse des ERP n’ait pas été tenue (sur l’ensemble des données et des processus) justifierait que 58 % des entreprises françaises ont déjà mis en place au moins une solution en mode SaaS au sein du SIRH (contre 47 % en 2012).
Source : Pourquoi utiliser le Cloud dans le domaine des RH ? http://ow.ly/q3dis

Claude Portmann, Directeur d’e-Paye, rappelle qu’en mode SaaS, les données sont hébergées par le prestataire, c’est-à-dire qu’elles ne sont plus localisées sur les systèmes informatiques de l’entreprise utilisatrice. Il précise qu’en conséquence, le risque de perte de données est pratiquement nul et que cela permet également de se protéger des intrusions, dont on sait qu’elles proviennent majoritairement d’actes internes à l’entreprise.

Ce point est d’ailleurs confirmé par Frédéric Charles qui considère que la faille sécuritaire repose surtout sur les individus, les processus, les procédures, l’organisation et les mots de passe. Que la donnée soit hébergée en interne ou en externe, il faut donc mettre en place des contrats avec un droit d’audit et aussi prévoir des tests d’intrusion réguliers (qui incluent les applications SaaS). Si la sécurité est un des éléments essentiels, il faut choisir son prestataire en conséquence et paradoxalement, le Cloud s’avère souvent plus sécurisé qu’un hébergement en interne.

Pour Matthieu Laudereau, la question de la sécurité et l’argument des risques sécuritaires du Cloud seraient désormais démystifiés. Ces préoccupations seraient à présent moins prioritaires pour les DRH que celles qui ont trait, tout simplement, à la récupération et à l’accès aux historiques des données (dans le cadre d’un changement de solution notamment) ou encore au caractère qualitatif de ces dernières (à des fins de reporting et de pilotage). Selon lui, aujourd’hui, les DRH ont conscience que les données hébergées en interne ne sont pas nécessairement plus sécurisées qu’en cas d’hébergement externe. A titre d’exemple, il évoque qu’un administrateur du service informatique a pris la main sur un fichier contenant les révisions salariales de l’ensemble de la société et qu’un DRH était en train de mettre à jour. Dans ce contexte, la confidentialité des données RH peut en effet questionner ! Ce phénomène n’eut sans doute pas été possible dans le cadre d’une solution SaaS.

Les analystes précisent que les prestataires ont réalisé d’important progrès en matière de SLA (Service Level Agrement) au cours de ces dix dernières années et que la gestion sécuritaire des données et de leur accès est beaucoup plus élevée que dans le passé. L’apparition de la fonction de DSIRH a certainement contribué à mieux sensibiliser et éduquer les entreprises en matière d’évolutions technologiques et de précautions à prendre.

Cloud : Quels bénéfices ?

D’après les différentes études menées par les instituts de statistiques, le Cloud Computing serait à la mode parce qu’il répondrait à différentes problématiques des entreprises actuelles.

Une étude, réalisée pour Google par un cabinet d’études de marché indépendant spécialisé en technologies, nous apprend qu’une majorité écrasante (94%) des directeurs financiers pense que le cloud offre des avantages quantifiables tels que la réduction des coûts de maintenance informatique (53%), la diminution des dépenses informatiques (52%), la réduction des coûts opérationnels (43%) et une meilleure productivité des salariés (30%).
Source : Les directeurs financiers ont leur mot à dire sur les décisions IT (Etude Google) http://ow.ly/pUDEx

En dehors des gains de maintenance, pour ce qui concerne le Cloud RH, les conclusions de cette étude sont d’ailleurs confirmées par Markess International comme suit :

1. Plus de 50% des répondants mettent ainsi en avant des gains de flexibilité (ajout de nouvelles ressources en fonction des besoins).
2. Ils sont entre 40 et 50% à indiquer que le cloud permet des gains en temps, une réduction des dépenses d’investissement ou encore plus d’évolutivité.
3. Moins de 40% mettent en avant des gains de maintenance.
   Source : Externalisation IT : le cloud met KO l’hébergement traditionnel http://ow.ly/pQdM0

Selon Claude Portmann, Directeur d’e-Paye, les solutions de gestion en mode SaaS présentent 3 bénéfices essentiels :

• Le temps réel :

L’un des principaux intérêts du mode SaaS est de permettre le traitement des données en temps réel. Concrètement, le temps réel permet la modification et la visualisation immédiate sur le bulletin de l’impact de toute saisie. Mais attention, certaines solutions en mode SaaS utilisent des outils de calcul non intégrés à la solution. Dans ce cas, l’utilisateur n’obtient la génération de son bulletin de paie qu’après avoir lancé une commande spécifique. Ce décalage peut ralentir considérablement le travail du gestionnaire de paie, limiter les possibilités de simulation, avec un effet mécanique de baisse de productivité et d’augmentation des coûts.

• La mutualisation :

Le terme SaaS, appliqué à des offres de gestion des paies ou des ressources humaines, signifie que la solution est hébergée et maintenue par le prestataire, ce qui permet sa mutualisation, autrement dit sa mise à jour automatique, sans que le client ait à intervenir. Son avantage est de proposer des applications moins chères et plus rapides à mettre en œuvre, qui s’affranchissent de la contrainte du « versioning » imposée par le modèle logiciel « traditionnel » qui héberge la base des données en interne et en local.

• La sécurisation des données :

Le cloud concerne l’accès aux données et aux ressources par Internet. A condition d’utiliser un hébergement parfaitement identifié et localisé, la sécurisation et la confidentialité des données est mieux assurée dans une gestion en mode Cloud qu’avec une application traditionnelle « in-house ». Dans ce cas, le terme « cloud » correspond simplement à un accès aux données par l’intermédiaire d’Internet. En termes de sécurité, cela offre de meilleures garanties : les sauvegardes sont multiples, effectuées sur des systèmes sécurisés et maintenus par des professionnels spécialisés.

Selon Claire-Marie de Vulliod, on peut identifier 3 grandes familles de bénéfices : la maîtrise des coûts, la compétence et la conformité.
Ces bénéfices sont liés à la technique et aux services :

• pour la partie technique :
  • déploiement flexible, caractère évolutif,
  • offre intégrée,
  • pérennité,
  • sécurité et performance,
  • solution à la pointe du marché : portails clients, outils de reporting intégré, briques de communication, ergonomie… et des investissements souvent soutenus en R&D
• pour la partie des services :
  • professionnalisme du domaine (best practices processus RH, standards…),
  • expérience des consultants (mise à plat des règles, communication…),
  • réduction des coûts (mutualisation, partage de templates, processus standard…),
  • mise en place rapide,
  • relation de partenariat entre le client et son éditeur/fournisseur,
  • transparence sur les prix,
  • réversibilité.
    Source : Les solutions SaaS et les offres d’externalisation pour la GRH http://ow.ly/qa5Lp

Selon le cabinet ConvictionsRH, si les entreprises se tournent de plus en plus vers le Cloud RH, c’est :

• d’une part pour bénéficier des best practices des autres entreprises (puisque les fonctionnalités sont définies et standardisées à l’ensemble des clients) et c’est précieux dans un domaine où les évolutions légales évoluent continuellement,
• d’autre part parce que les délais de mise en place sont plus courts pour les projets SaaS que pour un projet ERP (méthodologies prédéfinies et conception technique réduite à des actions de paramétrages et de mise en place d’interfaces)
• Enfin, pour réaliser des économies d’échelle sur les coûts informatiques, en personnel et en infrastructure (les applications et les données ne sont plus hébergées et maintenues au sein de l’entreprise mais chez un prestataire).
  Source : Pourquoi utiliser le Cloud dans le domaine des RH ? http://ow.ly/q3dis

Comment optimiser la sécurité des solutions SaaS et sécuriser l’hébergement des données RH dans le Cloud ?

Selon Claire-Marie de Vulliod, pour ce qui concerne l’hébergement des données en mode SaaS, les notions de qualité doivent être passées en revue : temps de réponse, performances, sécurité, disponibilité… Le partenaire sélectionné doit ainsi proposer des infrastructures robustes et garantir la disponibilité de son service (supervision, administration et support).

« La sécurité informatique à 100 % n’existe pas » (Source : Une application RH en mode SaaS peut-elle être vraiment sécurisée ? http://ow.ly/pU1Vx et nous avons évoqué plus haut le fait que 70 % des données qui sortent d’une entreprise fuitent via le personnel interne ».

1. Sensibiliser l’interne :
   « C’est une culture de la responsabilité vis-à-vis de l’information qu’il faut instaurer, laquelle établit les valeurs de confiance et de respect pour les employés et le respect de la valeur de l’information interne. » 
   Source : Entreprises et organisations doivent communiquer avec précaution sur la nécessité de protéger leurs données http://ow.ly/pX8wN
2. Faire auditer les solutions des fournisseurs et réaliser des tests d’intrusion :
   « Au minimum, les utilisateurs doivent veiller à ce que les contrats SaaS permettent un audit annuel de sécurité et de certification par une tierce partie, en incluant une clause de résiliation de l’accord en cas de violation de la sécurité, si par exemple le fournisseur est défaillant dans l’application d’une mesure de sécurité. » 
   Source : Sécurité du cloud : mais où est passée la transparence ? http://ow.ly/q3mS1
3. Prévoir des clauses juridiques dans le contrat :
   Selon Claire-Marie de Vulliod, il n’existe pas un mais, des services. Il n’existe pas un modèle de SLA (Service Level agreement), mais plusieurs : tout dépend de la relation entre le client et le partenaire. Des questions importantes doivent être posées telles que celle de la réversibilité éventuelle, de la « maîtrise des données sources », de la sécurité…
4. S’assurer de la localisation de l’hébergement des données :
   Dans leurs critères de sélection, les DSI sont vigilants à la localisation des datacenters qui hébergeront leurs infrastructures, au-delà du rapport prix/valeur/délais et des garanties de performance et de disponibilité.
   Source : Pour les DSI français, le ROI du cloud devient moins nuageux http://ow.ly/pQdIw

————————————————————————-

Sources :