La protection des données personnelles des salariés devra être renforcée
02.02.2018
Gestion du personnel
Dès le 25 mai 2018, le règlement général de protection des données (RGPD) du Parlement européen entrera en vigueur. Les services RH ne seront pas épargnés, car ils devront réexaminer l'ensemble des traitements portant sur les données personnelles des salariés. Eclairages avec Cécile Georges, Chief Privacy Officer chez ADP.
Vidéo-surveillance, fichiers professionnels, enregistrements téléphoniques, géolocalisation... Les services de ressources humaines sont amenés à collecter de plus en plus de données personnelles des salariés : nom, prénom, date de naissance, numéro de sécurité sociale, adresse postale et courriel, numéro de téléphone, photos et vidéos, etc. La mise en oeuvre de tels traitements suppose que l'employeur puisse garantir la protection des données personnelles collectées. Sinon, gare aux sanctions de la Commission nationale informatique et libertés (Cnil) !
La vigilance des services RH devra être renforcée avec l'entrée en vigueur, le 25 mai 2018, du Règlement européen de protection des données (RGPD) adopté au Parlement européen le 27 avril 2016.
► Ce texte sera directement applicable en droit français. Des marges de manoeuvre en droit national sont toutefois expressément autorisées par le règlement. Un projet de loi relatif à la protection des données personnelles sera ainsi discuté à l'Assemblée nationale à compter du mardi 6 février 2018. Il réformera la loi Informatique et libertés du 6 janvier 1978.
Une responsabilisation accrue des employeurs
"Les services de ressources humaines ne feront pas face à un grand changement technique en comparaison de ce qui existe actuellement avec la loi Informatique et libertés de 1978, rassure Cécile Georges, Chief Privacy Officer chez ADP. Toutefois, la mise en oeuvre de la nouvelle règlementation risque de créer une attention accrue des salariés sur la façon dont leurs données personnelles sont traitées. De plus, les pouvoirs de contrôle et de sanction de la Cnil sont considérablement renforcés [voir encadré ci-après]. Deux raisons pour les employeurs de ne pas négliger ce règlement."
En effet, les grands principes de protection des données seront maintenus par le RGPD : conditions de licéité du traitement (article 6 du RGPD), finalité du traitement (objectif clair et déterminé), proportionnalité des données (ne pas collecter de données qui ne sont pas nécessaires), durée de conservation limitée. En revanche, la responsabilité de l'employeur sera renforcée. "L'employeur n'aura plus besoin de demander à la Cnil l'autorisation de mettre en oeuvre un traitement de données, explique Cécile Georges. Les entreprises devront faire elles-même leur propre évaluation de la compatibilité entre le traitement envisagé et les exigences légales". Le RGPD obligera les entreprises à documenter le mieux possible leur décision de mettre en oeuvre un traitement automatisé des données personnelles de leurs salariés.
► L'obligation de prendre en compte les règles de protection des données pèse sur le responsable du traitement, ici l'employeur. Lorsque l'entreprise a recours à un sous-traitant, par exemple un éditeur de logiciels, elle devra s'assurer et démontrer que le logiciel est bien conforme au RGPD (article 28 du RGPD).
| Un contrôle renforcé de la Cnil |
|---|
| Le contrôle de la Cnil se fera a posteriori. En cas de manquement, le règlement alourdira les sanctions applicables par la Cnil. Cette dernière pourra condamner l'entreprise a une amende pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial de l'entreprise. Elle pourra également effectuer des contrôles sur place dans tous les locaux servant à la mise en oeuvre d'un traitement de données personnelles, et effectuer des contrôles en ligne sous une identité d'emprunt (selon le projet de loi relatif à la protection des données personnelles). |
Créer un registre des activités de traitement
"L'entreprise doit tenir à la disposition de la Cnil les documents ayant servi de base au traitement de données. Elle doit pouvoir prouver qu'elle s'est posé les bonnes questions avant de collecter les informations des salariés". Les entreprises de 250 salariés et plus devront ainsi mettre en place un registre des activités de traitement effectuées sous sa responsabilité. Avec une liste de mentions obligatoires précise, établie à l'article 30 du RGPD.
Une analyse d'impact devra également être mise en oeuvre avant tout traitement de données présentant un risque élevé pour les droits et libertés des personnes physiques. Ces données dites "sensibles" restent les mêmes qu'auparavant : appartenance politique, syndicale, origine ethnique, religion etc. Seules les données biométriques ont été ajoutées par le RGPD, avec des conséquences qui devraient être limitées à certains secteurs selon Cécile Georges. "Cela peut viser le cas d'entreprises ayant mis en place certaines mesures de sécurité telles que l'authentification par empreinte digitale ou reconnaissance de l'iris".
Mieux informer les salariés
Le RGPD complète les informations à fournir lorsque des données à caractère personnel sont collectées. Ses articles 13 et 14 listent les mentions d'information obligatoires, qui seront à mettre à jour par les services RH. L'information est à délivrer au moment où les données sont collectées.
Le salarié pourra demander l'accès à toutes ses données personnelles ayant été collectées. Il aura également le droit de demander à l'entreprise les finalités du traitement de données, les destinataires de ces données, la durée de conservation etc. (article 15 du RGPD). Le délai dans lequel l'entreprise doit accéder à sa demande est raccourci, et passe de deux à un mois (une prolongation exceptionnelle d'un mois est toutefois possible pour les demandes complexes et/ou nombreuses).
La personne concernée par le traitement aura le droit d'être informée en cas de violation de ses données, par exemple dans le cas d'un piratage informatique (article 34 du RGPD). Ce droit n'est ouvert que dans le cas ou la violation est suffisamment grave, c'est à dire si elle "est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique". L'employeur devra également informer rapidement la Cnil (article 33 du RGPD).
Droit à l'oubli, à la rectification, au gel des données
"Le RGPD maintient - tout en les clarifiant - les droits individuels prévus par la loi Informatique et libertés en faveur des personnes dont les données sont collectées", explique Cécile Georges. Ainsi, un salarié (ou un ancien salarié) peut obtenir l'effacement des données à caractère personnel qui le concernent. L'entreprise doit accéder à sa demande dans certains cas limitativement énumérés : lorsque les données ne sont plus nécessaire au regard des finalités pour lesquelles elles ont été collectées, lorsque la personne concernée s'oppose au traitement, lorsque le traitement est déclaré illicite, etc (article 17 du RGPD).
Le salarié peut également demander à l'entreprise de rectifier ses données à caractère personnel lorsque ces dernières sont inexactes (article 16 du RGPD). Le RGPD maintient également un droit au gel temporaire des données personnelles (en cas notamment de contestation de l'exactitude des données, ou en attendant la vérification du traitement si ce dernier est contesté en justice) (article 18 du RGPD).
| Action de groupe : vers des condamnations de l'entreprise à des dommages et intérêts |
|---|
| La loi Justice du XXIe siècle a introduit une action de groupe en matière de protection des données à caractère personnel. Cette action, qui peut être exercée par une organisation syndicale de salariés représentative (lorsque le traitement affecte des salariés) tend exclusivement à faire cesser le manquement à la loi Informatique et libertés de 1978. Toutefois, un amendement au projet de loi sur la protection des données personnelles introduit la possibilité d'exercer une action de groupe aux fins de réparation du dommage causé par ce manquement. Les employeurs pourraient donc être condamnés à verser des dommages et intérets aux salariés en cas d'infraction à la règlementation sur la protection des données personnelles. |
Délégué à la protection des données
Certaines entreprises devront désigner un délégué à la protection des données (data protection officer, ou DPO) (article 37 du RGPD). C'est le cas des entreprises dont les activités de base "consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées". Simplement gérer les salariés et la paie ne correspond pas à cette définition, car il s'agirait alors d'une activité accessoire auxiliaire et non d'une activité de base. Cette obligation concernera les entreprises dont le traitement des données constitue l'activité principale : les cabinets de recrutement, les agences d'intérim, etc.
"Avec la loi Informatique et libertés qui mettait en place le correspondant informatique et libertés (CIL), la France était déjà en avance, reconnait Cécile Georges. Le CIL est un embryon du DPO, leurs rôles étant sensiblement identiques : s'assurer de la conformité de l'entreprise aux règles concernant la protection des données, et effectuer l'interface avec la Cnil." Les CIL actuellement en place dans les entreprises ont donc vocation à devenir les futurs DPO, même si l'entreprise peut choisir de faire autrement. "En fonction du volume d'informations traitées et de leur sensibilité, l'entreprise peut décider de donner la fonction de DPO en interne, ou de confier cette mission à une personne externe."
Gestion du personnel
La gestion des ressources humaines (ou gestion du personnel) recouvre plusieurs domaines intéressant les RH :
- Le recrutement et la gestion de carrière (dont la formation professionnelle est un pan important) ;
- La gestion administrative du personnel ;
- La paie et la politique de rémunération et des avantages sociaux ;
- Les relations sociales.
La gestion des ressources humaines (ou gestion du personnel) recouvre plusieurs domaines intéressant les RH :
- Le recrutement et la gestion de carrière (dont la formation professionnelle est un pan important) ;
- La gestion administrative du personnel ;
- La paie et la politique de rémunération et des avantages sociaux ;
- Les relations sociales.
Vous aimerez aussi
Nos engagements
La meilleure actualisation du marché.
Notre savoir-faire : mettre à votre disposition des documentations et outils pratiques et mis à jour en permanence par nos équipes de rédaction.
En savoir plusUn accompagnement gratuit de qualité.
Réponse gratuite à toutes vos questions sur l'utilisation de nos produits. Toute l'équipe du service Relations Clientèle se tient à votre disposition au 01 83 10 10 10, de 9h à 18h en semaine, pour traiter l'ensemble de vos demandes.
En savoir plusUn éditeur de référence depuis 1947.
Créées en 1947 par Jean Sarrut, les Editions Législatives vous permettent de veiller, sélectionner, regrouper et commenter l’essentiel de l’actualité juridique. Avec le concept du Dictionnaire Permanent, c'est près d'une trentaine de disciplines qui sont couvertes dont le droit social, le droit des affaires, le droit européen des affaires...
En savoir plusDes moyens de paiement adaptés et sécurisés.
Nous vous proposons de régler vos commandes par chèque, virement, carte bancaire ou prélèvement en ligne SEPA ; pour les produits numériques, vous pouvez en outre bénéficier d'un règlement en 1 ou 12 fois.
En savoir plus