RGPD : quels enjeux pour les DRH ?

16.02.2018

Contrat de travail

Fruit de longues années de négociations, le Règlement Général sur la Protection des Données (RGPD) s'appliquera directement dans tous les Etats membres de l'Union européenne à partir du 25 mai 2018, sans transposition nationale. Les directions des ressources humaines disposent donc encore de deux mois et demi pour se mettre en conformité avec ces nouvelles règles européennes, plus contraignantes en termes d'obligations et de sanctions.

L'objectif du règlement européen (UE) 2016/679 du 27 avril 2016 (dit Règlement général sur la protection des données - RGPD) est clair : redonner aux citoyens le contrôle de leurs données personnelles tout en unifiant les réglementations relatives à la protection des données de la vie privée dans l'Union européenne. Ses dispositions seront directement applicables aux entreprises françaises, même si un projet de loi sur la protection des données personnelles est également en cours de discussion au Parlement.

Remarque : le RGPD prévoit en effet plus d'une cinquantaine de marges de manoeuvre qui permettent aux Etats membres de préciser certaines dispositions ou de prévoir des garanties supplémentaires. Le 13 février dernier, l'Assemblée nationale a adopté en première lecture un projet de loi relatif à la protection des données personnelles.
Le RGPD ne concerne pas uniquement les clients des entreprises, mais également leurs salariés. En effet, entre le processus de recrutement et la gestion administrative du parcours collaborateur, les directions des ressources humaines jonglent avec des quantités importantes de données (CV, coordonnées privées, numéro de sécurité sociale, RIB, justificatifs médicaux, bulletins de paie, etc.).
Présentation des nouvelles règles européennes et recommandations aux DRH.
Les grands principes de la nouvelle réglementation
La fin des déclarations préalables auprès de la Cnil...
Si les grands principes de protection des données seront maintenus (conditions de licéité du traitement, finalité du traitement, proportionnalité des données, durée de conservation limitée), les entreprises n'auront plus de déclaration préalable à effectuer auprès de la Cnil.
Remarque : certaines démarches resteront nécessaires pour le traitement des données sensibles, telles que les données de santé par exemple.
Le système de déclaration sera remplacé par un système d'auto-contrôle continu et de responsabilisation (compliance) des responsables de traitement (les entreprises) et des sous-traitants (tels que les éditeurs de logiciel de paie et de gestion RH), ces derniers étant concernés par le dispositif. Les entreprises devront faire elles-mêmes leur propre évaluation de la compatibilité entre le traitement envisagé et les exigences européennes et nationales et devront documenter le mieux possible leur décision de mettre en oeuvre un traitement automatisé des données personnelles de leurs salariés. Autrement dit, l'entreprise sera actrice de sa mise en conformité et devra pouvoir en justifier à tout moment via une documentation fournie et à jour.
Remarque : les entreprises peuvent utiliser un certain nombre d'outils de conformité : certifications, labels, audit de conformité, codes de conduites, etc.
Pour ce faire, les entreprises et les sous-traitants devront mettre en oeuvre des mesures techniques et organisationnelles pour s'assurer et pouvoir démontrer à tout moment que le traitement est conforme à la réglementation. Dans les entreprises d'au moins 250 salariés, l'employeur devra tenir un registre interne des traitements de données à caractère personnel qui devra contenir certaines mentions (RGPD, art. 30), à savoir :
- l'identité (nom, prénom et coordonnées) du responsable du traitement, co-responsables de traitement, sous-traitants et destinataires intervenant dans le traitement ;
- les finalités du traitement des données ;
- les catégories de personnes concernées et les catégories des données traitées ;
- le cas échéant, les transferts de données personnelles hors UE et les données communiquées ;
- une description générale des mesures de sécurité techniques et organisationnelles ;
- les limites de durée de conservation et les délais prévus pour l'effacement des données.
Remarque : la Cnil met à disposition des entreprises plusieurs outils pratiques : un logiciel facilitant la réalisation des études d'impact, un modèle de registre et, bientôt, des référentiels (sectoriels pour certains), des modèles-type de mentions d'information, de formulaires de recueil de consentement, d'un formulaire de désignation du DPO.
Désignation d'un DPO obligatoire ou vivement recommandée
Les actuels correspondants informatique et libertés (CIL) seront remplacés par des délégués à la protection des données (DPO ou Date protection officer) qui devront répondre à des critères de désignation stricts.
Remarque : la présence du DPO sera obligatoire pour les organismes publics, les organismes privés dont l'activité de base les amène à réaliser un suivi des personnes régulier, systématique et à grande échelle, les organismes privés dont les activités de base les amènent à traiter de grandes quantités de données sensibles ou relatives à des condamnations pénales ou à des infractions. Ces données sensibles n'ont pas changé. On y retrouve l'appartenance politique, syndicale, les origines ethniques, l'appartenance à une religion, la santé, etc. Seules les données biométriques (ex. : authentification par empreinte digitale ou reconnaissance de l'iris) ont été ajoutées au RGPDPour tous les autres organismes, la présence DPO est facultative mais vivement recommandée. Il peut être interne ou externe à l'organisme et peut même être mutualisé.
Le DPO reprendra les attributions du CIL avec des missions élargies. Ainsi, il informera et conseillera l'entreprise ou le sous-traitant sur l'observation du RGPD, contrôlera la conformité des traitements au RGPD et au droit national, conseillera l'organisme sur la réalisation d'une analyse d'impact et en vérifiera l'exécution, servira d'interlocuteur à la Cnil et coopérera avec elle. Il ne sera pas personnellement responsable en cas de non-conformité, cette obligation incombant à l'entreprise ou au sous-traitant.
... mais pas la fin du contrôle
La Cnil conservera ses missions d'information et de conseil, la principale nouveauté introduite par le RGPD résidant dans une coopération plus poussée pour les contrôles effectués sur des acteurs internationaux.
Remarque : le projet de loi sur la protection des données personnelles, actuellement discuté au Parlement, prévoit que la Cnil pourra apporter une information personnalisée aux TPE/PME (Projet de loi relatif à la protection des données personnelles, TA n° 84, art. 1).
Son pouvoir d'enquête sera maintenu. Elle pourra notamment ordonner la communication de toute information utile, mener des enquêtes sous forme d'audits, notifier une violation constatée, accéder à toutes les données et informations nécessaires à l'accomplissement de ses missions, accéder aux locaux des entreprises.
Remarque : si le projet  de loi relatif à la protection des données personnelles est voté en l'état, les agents de contrôle de la Cnil pourront  "recueillir sur place ou sur convocation tout renseignement et toute justification utiles et demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie. Ils pourront accéder, dans des conditions préservant la confidentialité à l’égard des tiers, aux programmes informatiques et aux données ainsi qu’en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. Le secret ne pourra leur être opposé sauf concernant les informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou par le secret médical" (Projet de loi relatif à la protection des données personnelles, TA n° 84, art. 4).
La Cnil gardera aussi son pouvoir de sanction.
Selon le projet de loi relatif à la protection des données personnelles, le président de la Cnil pourra avertir le responsable de traitement de possibles violations aux dispositions européennes de ses opérations de traitement (TA n° 84, art. 6). Il pourra aussi décider de saisir la formation restreinte de la Cnil qui, elle, pourra :
- rappeler le responsable à l'ordre ;
- mettre en demeure l'entreprise de se mettre en conformité (dans le délai qu'elle fixera et qui pourra, en cas d'urgence, être de 24 heures) ;
- prononcer une injonction de mettre en conformité le traitement avec les dispositions européennes ou légales sous astreinte (dont le montant ne devrait pas, a priori, excéder 100 000 euros par jour) ;
- limiter temporairement ou définitivement un traitement ;
- suspendre les flux de données, ordonner de répondre favorablement aux demandes d'exercice des droits des personnes ;
- ordonner la rectification, la limitation ou l'effacement des données ;
- retirer la certification délivrée ou ordonner à l'organisme de certification de la retirer.
En complément ou à la place de ces mesures, la Cnil pourra condamner les entreprises à une amende qui devra être "effective, proportionnée et dissuasive" et répondre à un certain nombre de critères réparties par catégories : la nature de la violation et des données en cause, l'état d'esprit de l'auteur de la violation, son comportement avant et après la violation et les circonstances atténuantes et aggravantes.
Certaines violations dont le RGPD dresse la liste (ex. : la non-désignation d'un DPO) pourront être punies d'une amende pouvant atteindre les 10 millions d'euros ou, pour une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent (le montant le plus élevé des deux sera retenu). D'autres violations pourront conduire à une amende pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires visé plus haut.
Remarque : a priori, lorsque la formation restreinte de la Cnil aura prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci pourra ordonner que l'amende administrative s'imputera sur l'amende pénale qu'il prononcera. A noter également qu'en cas de méconnaissance des nouvelles obligations résultant du RGPD (droit à portabilité, analyses d'impact), les contrôles n'auront, en cas de bonne foi, pas vocation à déboucher dans les premiers mois sur des procédures de sanctions.
Actions à mettre en oeuvre par les entreprises et les RH
Identifier les tâches RH occasionnant un traitement de données personnelles pour préparer la tenue du futur registre interne
Les tâches RH pour lesquels il est nécessaire de collecter, traiter et stocker des données personnelles sont classiquement :
- le recrutement : des données personnelles des candidats figurent dans les CV, les lettres de motivation et peuvent être collectées lors des entretiens, des tests et des évaluations ;
- la gestion des carrières : des données personnelles sont collectées dans le cadre de la formation, des évaluations annuelles et professionnelles, de la mobilité, du droit disciplinaire ;
- la paie et plus globalement la politique de rémunération et d'avantages sociaux : des données personnelles sont collectées et stockées non seulement pour la gestion des bulletins de paie, en comptabilité mais aussi lors de la mise en place d'un régime de prévoyance/frais de santé ou de dispositifs d'épargne salariale ou bien encore de la mise à disposition d'un véhicule de fonction ;
- les relations sociales (données collectées dans le cadre des élections des représentants du personnel ou pour la BDES) ;
- la sécurité et la gestion des accès (ex. : dispositif de badgeage ou de videosurveillance) ;
- la rupture du contrat de travail.
Lors du travail d'identification des données collectées, les professionnels RH seraient bien inspirés de vérifier qu'ils ne collectent que les données adéquates, pertinentes et strictement nécessaires à la finalité du traitement. Il serait également judicieux de s'assurer du respect des durées de conservation des données et de leur effacement.
Exemple : collecter des informations sur l'entourage familial d'un candidat dans un formulaire est inadéquat puisque ces données ne permettent pas d'évaluer ses compétences professionnelles ni d'apprécier sa capacité à occuper le poste proposé. Rappelons également que les CV et lettres de motivation ne peuvent être conservées plus de 2 ans à compter du dernier contact avec le candidat.
Garantir la sécurité et la confidentialité des données et s'assurer de la conformité des traitements des sous-traitants
L'entreprise, en concertation avec son DPO, devra prendre toutes les mesures techniques et organisationnelles pour assurer la confidentialité des données personnelles de ses salariés (et des candidats qui n'ont pas eu la chance d'être embauchés) et éviter toute divulgation à des tiers non-autorisés.
Au titre des mesures organisationnelles pouvant être prises, l'entreprise peut mettre à la disposition de son personnel une documentation interne pour, par exemple, le sensibiliser aux cyber-attaques. Les mesures techniques concernent davantage les DSI (politique de gestion des incidents, de sécurité des systèmes d'information, etc.).
Remarque : attention ! Une analyse d'impact sur la protection des données personnelles pourra être demandée aux entreprises lorsque le traitement induira un risque élevé pour les droits et libertés de la personne. C'est le cas si l'entreprise est amenée à traiter de grandes quantités de données sensibles. A priori, la Cnil n'exigera pas immédiatement la réalisation d'une étude d'impact pour les traitements ayant régulièrement fait l'objet d'une formalité préalable auprès de la Cnil avant le 25 mai 2018. En revanche, une telle étude devra être réalisée dans les 3 ans à compter de cette date pour les traitements susceptibles de présenter un risque élevé.
Le RGPD impose aussi un réexamen des contrats entre responsables de traitement et sous-traitants (comme les prestataires de paie). Les contrats devront préciser notamment la finalité du traitement, la durée de conservation des données et les obligations du sous-traitant. Du reste, l'entreprise devra s'assurer que ses sous-traitants présentent des garanties techniques et organisationnelles suffisantes au regard des exigences du règlement et de l'objectif de protection des données.
Enfin, toute violation de données personnelles (ex. : programmes malveillants, hameçonnage, intrusions) devra être notifiée à la Cnil dans les 72 heures (RGPD, art. 33). L'information des personnes concernées sera également requise si la violation est susceptible d'engendrer un "risque élevé pour leurs droits et libertés". Des procédure adéquates devront donc être prévues pour pouvoir faire face à une telle situation dans l'urgence.
Informer les salariés et recueillir leur consentement
Le RGPD complète les informations à fournir obligatoirement aux salariés préalablement au traitement de leurs données personnelles (RGPD, art. 13 et 14). Ainsi, les salariés (et les candidats) devront être informés :
- des coordonnées du DPO ;
- du fondement juridique du traitement ;
- en cas de transfert des données hors UE, des garanties offertes et des moyens d'en obtenir copie ou de l'endroit où elles sont mises à disposition ;
- de la durée de conservation des données ;
- de son droit d'introduire une réclamation auprès de la Cnil ;
- de son droit de retirer son consentement à tout moment ;
- de l'intention d'effectuer un traitement ultérieur des données à d'autres fins.
Ces informations devront être mises à jour par les services RH. L'information est à délivrer au moment où les données sont collectées dans les documents de collecte (ex. : contrat de travail, formulaire de candidature, règlement intérieur, fiche de renseignement) ou en pièce jointe.
Le Règlement durcit également considérablement le régime du consentement : ce consentement doit se manifester par une déclaration ou un acte positif clair (pas de consentement par défaut) et n'est pas valable en cas de "déséquilibre manifeste" entre la personne concernée et le responsable de traitement. La charge de la preuve repose sur le responsable de traitement (donc l'entreprise).
Remarque : il faudra donc veiller, dans le système de collecte, à mettre en place un dispositif permettant de recueillir ce consentement (ex. : système de case à cocher, autorisation écrite).
Anticiper les demandes d'accès des salariés à leurs données
Le salarié pourra demander l'accès à toutes ses données personnelles ayant été collectées. Il aura également le droit de demander à l'entreprise les finalités du traitement de données, les destinataires de ces données, la durée de conservation, etc. (RGPD, art. 15). Il y a fort à parier qu'il fera cette demande à la DRH de son entreprise.
Le délai dans lequel il faudra accéder à sa demande passe de deux à un mois (une prolongation exceptionnelle d'un mois sera toutefois possible pour les demandes complexes et/ou nombreuses). Si aucune suite ne peut être donnée à sa demande, il faudra l'informer des motifs de cette inaction, des voies et délais de recours ouverts dans un délai d'un mois suivant la réception de sa demande.

Contrat de travail

Le contrat de travail se définit comme un accord où le salarié accepte de mettre son travail au profit d’un employeur en contrepartie d’une rémunération (le salaire). Trois éléments caractérisent l’existence du contrat de travail : une remunération, un travail effectif et un lien de subordination

Découvrir tous les contenus liés
Delphine de Saint Remy, Smart Action RH Géraldine Anstett, Dictionnaire Permanent Social
Vous aimerez aussi

Nos engagements