RGPD : comment gérer les données personnelles des salariés ? (2)

Les données personnelles de Neymar, Cavani ou Mbappé peuvent-elles traitées de la même manière que celles d’un salarié classique ? Quelles précautions doivent être prises pour éviter des fuites de données ?

« Le Paris Saint-Germain, comme tout Club de Ligue 1, a plusieurs catégories de collaborateurs : ceux que l’on retrouve dans toute organisation, rattachés aux différents métiers et fonctions de l’entreprise – finance, comptable, marketing, etc. – auxquels viennent s’ajouter les collaborateurs rattachés à la direction sportive et enfin les joueurs professionnels », explique Stéphanie De Buck, DPO du PSG. « Cette diversité se traduit dans les traitements de données personnelles mis en œuvre par le Club et nous a conduit à mettre en place un dispositif de conformité pluriel adapté à la nature de la relation et à la sensibilité des données traitées ».

Car certaines données sont « sensibles » et « requièrent une attention particulière ». Notamment les « données médicales des joueurs », précise Stéphanie De Buck.

Alors comment le Club gère-t-il les données de ses joueurs professionnels ? « Leur contrat comprend un article dédié à la protection des données personnelles et renvoie à la privacy policy par le biais de laquelle les joueurs sont pleinement informés. Concrètement, c’est lors de la visite médicale suivant l’embauche ou la reprise de la saison que la privacy policy leur est remise et que les consentements sont le cas échéant recherchés. Ce document a évidemment été en amont partagé et validé avec la Direction juridique sportive et les directions concernées ».

Le contrat des joueurs comprend un article dédié à la protection des données personnelles

La DPO s’est par ailleurs « intégrée aux projets informatiques portés par la direction sportive dans l’objectif d’uniformiser leurs process » et les équipes en charge du recrutement, de la performance et du médical ont également été sensibilisées. « Chacune a un rôle à jouer dans la collecte et le traitement des données des joueurs, et à ce titre est acteur de conformité ». Certains choix techniques ont également été faits « pour être privacy by design : gestion des durées de conservation et des accès, etc.».

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Pour s’assurer du respect de la confidentialité des données, la DPO a décidé « avec la DSI, de faire signer un engagement de confidentialité à certaines personnes du fait des droits dont elles disposent et des données qui leur sont accessibles ». Sont notamment concernés « les administrateurs disposant de droits étendus qu’ils soient en interne ou en externe ». Cette procédure pourrait être étendue « à d’autres populations en considération des niveaux de risques », précise Stéphanie De Buck. Une précaution approuvée par Amira Bounedjoum.

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Vis-à-vis des autres collaborateurs du PSG, leurs contrats de travail ont été « adaptés depuis l’entrée en vigueur du RGPD ». Et la DPO envisage « de compléter les dispositions contractuelles par la mise en place d’une privacy policy ». Une démarche de conformité réalisée « en concertation avec la direction des ressources humaines et le service en charge du droit social », explique Stéphanie De Buck.

Sur l’information des salariés, Amira Bounedjoum recommande de prévoir dans le livret d’accueil des nouvelles recrues une information complète sur toutes les données qui sont collectées par l’entreprise. « Assurez-vous de la visibilité de l’information : une documentation spécifique sur le RGPD peut être intégrée sur l’intranet et un mail individualisé pourra être envoyé à chaque salarié ».

Afin de former les collaborateurs du PSG et de les « responsabiliser », la DPO a mis en place des mesures adaptées à chaque « catégorie ». « Un programme de formation e-learning sera déployé vis-à-vis de l’ensemble des collaborateurs – comme nous le faisons actuellement sur l’anticorruption – courant juin. En parallèle, un espace intranet dédié est aujourd’hui accessible à chacun. Dans certains cas, - notamment vis-à-vis des scouts (ndlr : les collaborateurs qui prospectent pour recruter de nouveaux joueurs), des membres de la direction médicale et de la performance - nous avons fait le choix de mettre en place des formations spécifiques ». En début d’année, la DPO a en outre « créé une communauté de privacy champions. Interlocuteurs privilégiés des collaborateurs travaillant au sein de leur direction, les privacy champions ont pour mission de les orienter dans leur démarche de conformité ».

 Mettez en place un formulaire qui permet au salarié d’indiquer un choix concernant les données auxquelles il veut avoir accès

Et concernant la gestion des demandes d’exercice de droits par les salariés ? Amira Bounedjoum recommande de « structurer cette tâche en mettant en place un formulaire dédié qui permet au salarié d’indiquer un choix concernant les données auxquelles il veut avoir accès ». Par exemple, le dossier professionnel, les images de vidéosurveillance, le dossier de candidature, etc.

Et combien de temps ces données doivent-elles être conservées ? « Il n’y a pas de durées fixes et précises : tant que l’employé est dans l’entreprise et que l’employeur en a besoin pour les finalités qu’il a identifiées. Par exemple, pour respecter ses obligations légales, ou encore pour garder une trace de la relation avec le salarié qui a quitté l’entreprise, dans l’éventualité d’un contentieux », répond Amira Bounedjoum. « Ces données pourront alors être archivées et les habilitations d’accès pourront être modifiées afin de ne faire apparaître dans la base que les salariés actifs ».