Le règlement européen 2016/679 du 24 avril 2016 sur la protection des données personnelles (RGPD) entre en application le 25 mai prochain. Son objectif est de responsabiliser les acteurs et de renforcer les droits des personnes (les sanctions peuvent atteindre 4 % du chiffre d’affaires mondial de l’entreprise défaillante !)

Notre point de vue : les services Ressources Humaines ont un travail considérable...

à mener en 2018 pour mettre en conformité les process internes avec la nouvelle réglementation. Ne doutons pas que la bienveillance des autorités administratives est terminée, les attentes des individus et notamment des employés sur l’utilisation de leurs données personnelles étant plus que perceptibles.

Compétences & Diversité peut mettre à votre disposition un Consultant (correspondant CNIL) pour réaliser un audit et vous mettre en conformité avec la nouvelle règlementation.

Les entreprises ont été sensibilisées à la loi no 78-17 dite « Informatique et Libertés » ces dernières années par l’approche pédagogique de la CNIL qui a facilité les processus de déclaration. Nombre d’entreprises devraient donc bien assimiler les dispositions du RGPD au regard des traitements des données personnelles de leurs clients, prospects ou partenaires.

 

QU’EN EST-IL DES TRAITEMENTS DES DONNÉES PERSONNELLES DES SALARIÉS ?

Rappelons que les employeurs ont à traiter des données « très personnelles » (numéro de sécurité sociale, état de santé, situation matrimoniale, etc.) qualifiées parfois de « sensibles » et que l’actualité révèle des pratiques opposées aux objectifs du RGPD.

La porosité accrue de la frontière vie professionnelle/ vie privée et le développement des technologies de contrôle et de surveillance au travail (caméras, logiciels, localisation, réseaux, etc.) justifient l’inquiétude des employés.

En ce sens, le RGPD, qui s’applique aux entreprises, associations, collectivités territoriales et administrations, entend responsabiliser les acteurs et mieux protéger les individus.

Rappelons que juridiquement le responsable de traitement est « La personne physique ou morale, l’autorité publique, le service ou tout autre organisme, qui seul ou conjointement avec d’autres détermine les finalités et les moyens du traitement des données à caractère personnel. » (RGPD, art. 4).
L’étendue des traitements des données personnelles des employés place donc l’employeur dans la position de responsable du traitement dont les obligations sont renforcées par le RGPD.

 

L’ÉTENDUE DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL DES SALARIÉS

La relation employeur/salarié est en réalité plus propice à la collecte de données personnelles qu’une relation entreprise/ client.

La collecte des données des employés par l’employeur est constante et régulière. Avant même de signer un contrat de travail, l’entreprise détient d’ores et déjà certaines informations personnelles du candidat, notamment au travers de son Curriculum Vitae et des différents tests d’évaluations. Cette collecte de données se poursuit ensuite tout au long de la carrière du salarié (déclarations sociales et fiscales, arrêts maladie, échanges de correspondances etc.).
Les données collectées sont également variées car la finalité des traitements opérés par l’employeur est très étendue pour couvrir l’ensemble de ses obligations contractuelles et légales, notamment au niveau fiscal et social.

Les données isolées qui ne sont pas à proprement parler des données à caractère personnel, tel le lieu de naissance ou la situation matrimoniale, doivent dans la plupart des cas être traitées comme telles car, recoupées avec d’autres informations disponibles sur un même système informatique, elles permettent en réalité d’identifier l’employé concerné par l’effet dit de « l’interconnexion des données ».

L’application territoriale du RGPD doit être prise en compte. Dès lors qu’un seul salarié réside dans un pays européen, l’employeur devra respecter à son égard les règles édictées par le RGPD. Cette règle a des conséquences importantes notamment pour les entreprises internationales basées en dehors de l’Union européenne ou pour les groupes au sein desquels les données des employés circulent dans des entités géographiquement très éloignées.

Le RGPD consacrant le principe « d’accountability », l’entreprise est acteur et responsable de sa mise en conformité et supporte la charge de la preuve. C’est donc l’ensemble des services Ressources Humaines des entreprises européennes et des entreprises étrangères ayant des employés en Europe qui est concerné par la mise en conformité au RGPD avant le 25 mai 2018.

Il convient de mentionner l’article 88 du RGPD qui autorise les Etats membres, en matière de législation sur le travail, à prévoir par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés dans le cadre des relations de travail.

Ces règles devront intégrer « des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personne concernées » en accordant une attention particulière à la transparence du traitement et au transfert des données au sein des groupes d’entreprises.

 

MISE EN CONFORMITÉ ET MOYENS D’ACTIONS

Le RGPD vient consacrer certaines pratiques déjà existantes et crée également de nouvelles obligations imposant aux employeurs d’engager des actions concrètes pour anticiper son entrée en vigueur.

1/ L’établissement d’un registre des traitements

Le RGPD allège le processus déclaratif initié par la CNIL et prévoit l’obligation de tenir un registre des traitements de données qui devra être mis à disposition de l’autorité administrative compétente (RGPD, art. 30).

L’établissement de ce registre requiert des services Ressources Humaines le recensement de l’ensemble des données personnelles des employés collectées puis la cartographie des traitements opérés sur ces données.

Si cette obligation n’est valable que pour les entreprises de plus de 250 salariés, elle apparaît toutefois précieuse pour optimiser les traitements des données, garantir leur sécurité et faire office de preuve le cas échéant.

Le registre devra répertorier l’ensemble des traitements relatifs aux ressources humaines, en déterminer la finalité et prévoir les mesures de sécurité adéquates. À cette fin, il devra notamment contenir :

  • les noms et coordonnées des responsables du traitement et des sous-traitants ;
  • les personnes concernées par le traitement et les données traitées ;
  • les mesures de sécurité techniques et organisationnelles mises en place.

L’élaboration et l’actualisation du registre peuvent paraître lourdes. Cependant ce document permet d’organiser de façon structurée les modalités du traitement des données des employés et facilite l’exercice de leurs droits à modifier, rectifier ou supprimer tout ou partie de leurs données personnelles.

 

2/ L’information et le consentement préalable des employés

Concrètement, les employés doivent être informés du traitement de leurs données personnelles de façon claire et précise. Cette information peut se faire sur plusieurs supports tels que le règlement Intérieur de l’entreprise ou encore le contrat de travail et contient, de manière non exhaustive :

  • les modalités du traitement et ses finalités ;
  • un rappel des droits de l’employé sur ses données ;
  • si les données feront l’objet d’un transfert à une autre entité juridique (au sein d’un Groupe d’entreprises par exemple).

La collecte de certaines données (photographie du salarié par exemple) imposera l’obtention du consentement préalable de l’employé concerné. Ce consentement devra être recueilli de façon explicite et non équivoque pour les traitements concernés, notamment par un écrit ou une case à cocher (RGPD, art. 7).

 

3/ L’exigence de minimisation des données personnelles collectées

Si l’employeur est amené à traiter un nombre important de données personnelles, il doit pour autant et conformément à l’article 5 du RGPD, ne traiter que les données nécessaires à l’objectif pour lequel il traite ces données.

Par exemple, lors de la phase de recrutement d’un employé, les données collectées devront être limitées à celles strictement nécessaires à l’évaluation des capacités du candidat à occuper le poste proposé. Par conséquent, les formulaires de candidature ne peuvent imposer la divulgation de la situation matrimoniale d’un candidat ou l’étendue de sa paternité.

Des modalités particulières sont par ailleurs prévues pour les emplois où un extrait du casier judiciaire est nécessaire. Dans ce cas, l’employeur a l’interdiction de conserver ledit extrait ou des notes relatives à celui-ci.

 

4/ L’obligation de garantir la sécurité et la confidentialité des données personnelles collectées

Il s’agit de la pierre angulaire du RGPD, toute entreprise devant garantir la protection des données personnelles des employés ainsi que leur confidentialité. Le responsable du traitement doit déterminer et mettre en place les mesures « techniques et organisationnelles » nécessaires pour assurer la confidentialité des données personnelles des employés afin d’éviter toute divulgation (RGPD, art. 32).

Outre les considérations techniques intégrant la sécurité physique des lieux ou des serveurs et les dispositifs informatiques, se pose également la question de savoir qui a accès aux données des employés au sein de l’entreprise. En effet, on distingue habituellement la personne chargée du recrutement de celle qui gère les paies, ou de celle qui traite des données de santé des employés. Dès lors, ces différents opérateurs ne doivent pas avoir accès aux mêmes données personnelles et l’employeur doit définir clairement les personnes et les données auxquelles elles ont légitimement accès, et cloisonner informatiquement ces accès.

Les mesures organisationnelles passent d’ailleurs par la sensibilisation du personnel à la sécurité des données. Elles peuvent constituer en l’élaboration d’un référentiel interne sur les méthodes de traitement au sein de l’entreprise, la mise en œuvre de procédures spécifiques à l’identification des nouveaux traitements, etc.

Enfin, à compter de l’entrée en vigueur du RGPD, toute faille de sécurité devra être signalée dans un délai de 72 heures à l’autorité de contrôle compétente (la CNIL en France) ainsi qu’à l’employé concerné (RGPD art. 33 et 34).

 

5/ La reconnaissance du droit de l’employé sur ses données personnelles

Le RGPD créé également de nouveaux droits comme le droit à la portabilité des données personnelles ou le droit à l’oubli. Tout employé pourra saisir son service Ressources Humaines (ou la personne désignée) pour exercer les droits qu’il détient sur ses données personnelles.

Sa demande devra être suivie d’une réponse dans le mois, ce qui implique la mise en place de mesures techniques adaptées pour respecter ce délai (RGPD, art. 3).


L’employeur doit donc mesurer la problématique du stockage de ces données puisqu’il devra connaître leur emplacement exact afin de répondre efficacement aux demandes des employés.

 

6/ La durée de conservation des données personnelles des employés

 Les données personnelles des employés ne peuvent être conservées que pour la durée nécessaire (RGPD, art. 5):

  • à l’exécution de leur contrat de travail ;
  • et/ou au respect d’obligations légales (fiscales par exemple) ;
  • et/ou à l’accomplissement de l’objectif qui était poursuivi lors de leur collecte.

 A titre d’illustrations, les données collectées sur un candidat non retenu à l’embauche doivent être effacées deux ans après le dernier contact et les données personnelles d’un salarié relatives à la paie ne peuvent être conservées au-delà de cinq ans.

 

7/ La désignation d’un « Data Protection Officer »

Garantir la sécurité des données à caractère personnel nécessite une organisation technique très lourde. Pour les employeurs, le caractère sensible et le spectre important des données traitées complexifient la mise en conformité au RGPD.

Dans ce contexte, le RGPD généralise l’actuel « Correspondant Informatique et Libertés » (CIL) et introduit de manière pérenne un nouvel acteur auprès ou au sein des entreprises : le DPO ou Délégué à la Protection des données personnelles. Ce dernier aura en charge la gestion cohérente et conforme du traitement des données personnelles.

La désignation d’un DPO sera obligatoire dès lors que les entreprises effectueront des traitements à grande échelle de suivi régulier et systématique des personnes ou de données sensibles. Il le sera également pour le secteur public, quel que soit la nature du traitement (RGPD art. 37).

 Quand bien même la désignation d’un DPO n’est pas obligatoire pour toutes les entreprises, la complexité technique du traitement des données, a fortiori celle des employés, et l’étendue des obligations rend la désignation du DPO plus qu’opportune.

L’étendue des attributions du DPO fait de lui le « chef d’orchestre » de la conformité de l’entreprise au RGPD. Il aura notamment pour mission d’apporter ses expertises techniques et juridiques sur les mesures de sécurité adéquates à mettre en place. Il sera surtout l’interlocuteur privilégié des salariés et de la Cnil pour toutes les questions relatives aux données personnelles.

Si le « DPO » peut être un salarié de l’entreprise ou un prestataire extérieur (avocat, conseil ou prestataire spécialisé), il convient de désigner une personne dédiée exclusivement à cette tâche pour éviter notamment la notion de conflit d’intérêt ou de mettre à mal son indépendance dans le cadre de la relation employé/employeur.

 

Pour un audit et la mise en conformité de votre organisation avec la nouvelle règlementation, nous sommes à votre disposition :

Dino  CHAKOUB : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. - 06 50 44 70 75

Claudie CHAKOUB : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. - 06 62 19 17 17