Le RGPD n’a pas seulement vocation à légiférer sur ce que Facebook et Google comptent faire de vos données. Le Règlement est appelé à jouer un rôle important, notamment dans les responsabilités de l'employeur mais aussi au sein des services de ressources humaines qui vont se trouver tout aussi concernés par la mise en oeuvre du Règlement.

Le Règlement ne brille pas par son intelligibilité, il se révèle complexe et cela même pour les experts du droit. C’est pourquoi nous vous proposons quelques éclaircissements sur les différentes règles qui viendront bientôt rythmer votre entreprise le 25 mai 2018.

Je suis employeur, quelles obligations pèsent sur moi ?

ecriture-ordinateur-travail
CC Helloquence

La notion la plus fondamentale à retenir est que la responsabilité de la mise en œuvre de la protection des données repose sur l’employeur puisqu’il sera considéré comme le responsable du traitement (article 4).

C’est une responsabilité à l’interprétation très large que des États membres ont déjà pu appliquer. Par exemple, la Haute cour de justice d’Angleterre et pays de Galles, dans une décision Morrisons rendue le 1er décembre 2017, a jugé un employeur indirectement responsable de la fuite des données de plus de 5 000 de ses employés, alors même qu’elle avait été provoquée par un autre employé sur la base d’une vengeance. Peu importe les circonstances, l’employeur a été tenu responsable de la conduite de cet employé.

Il revient donc à l’employeur de s’assurer que les outils qu’il utilise sont en conformité avec la réglementation sur les données personnelles. Ceci rentre dans la notion de privacy by design instituée par l’article 25 disposant que le responsable du traitement (employeur) : « met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ».

Un cas concret pourrait se traduire par la vérification des logiciels utilisés dans le cadre de la gestion des ressources humaines, c’est-à-dire qu’ils offrent effectivement les fonctionnalités imposées par le RGPD telles que :

  • La possibilité de rectifier ou effacer des données inexactes, également de les supprimer de manière définitive.
  • Garantir la sécurité des données (ce a quoi avait failli l’employeur de la décision Morrisons).
  • Pouvoir composer avec les demandes des salariés (rectification, suppression, etc).

Comment définir ses obligations ?

À cette responsabilité de mise en œuvre s’ajoute l’article 35 faisant peser sur l’employeur l’obligation de procéder à une analyse d’impact relative à la protection des données qui vient remplacer les précédentes formalités de déclarations et d’autorisations faites auprès de la CNIL (principe d’accountability).

L’analyse d’impact n’est obligatoire que lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des salariés. La CNIL édicte une série de critères pour évaluer ce risque. De plus, l’autorité met également à disposition un logiciel d’analyse d’impact gratuit nommé PIA, ayant déjà fait l’objet d’un article.

Le RGPD crée une obligation de tenue de registre pour l’employeur (article 30), obligatoire pour les entreprises de plus de 250 salariés. Les entreprises comptant moins de 250 salariés peuvent déroger à cette obligation à moins que le traitement soit susceptible de comporter un risque pour les droits et libertés des personnes. Dans les faits, il sera quasiment impossible d’échapper à la tenue de ce registre tant le champ des exceptions est réduit.

Le registre doit être consultable par la CNIL à tout moment et son contenu est développé par ledit article. Il s’agit, en vérité, de cartographier l’ensemble des traitements effectués au sein de l’entreprise. Il est possible de trouver un modèle de registre de traitement sur la site de la CNIL.

Risque-t-on quelque-chose ?

En cas de violation des données personnelles, à moins qu’elle ne comporte pas un risque pour les droits et libertés des personnes physiques, une double obligation de notification s’impose à l’employeur (article 33 et article 34).

  • À la CNIL (l’autorité compétente) : dans un délai de soixante-douze heures.
  • Au salarié (la personne concernée) : dans les meilleurs délais.

Une violation s’analyse comme « entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données » (article 4.12). Cette obligation suppose la création d’une procédure de notification effective.

Le non-respect de l’ensemble de ces obligations peut conduire à une amende administrative se chiffrant à 2 % du chiffre d’affaires annuel mondial soit 10.000.000 d’euros (article 83.4). À ce titre, les sénateurs ont prévu que le produit des sanctions qui seront prononcées par la CNIL soit affecté au financement de l’assistance donnée aux TPE-PME dans leur mise en conformité avec la nouvelle réglementation (voir l’amendement n° 151 du projet de loi relatif à la protection des données personnelles adopté en première lecture par le Sénat le 21 mars 2018).

Quels sont les changements côté DRH ?

CC Flickr Flazingo Photos

Au niveau DRH, il y a aussi des nouveautés. Tout d’abord, vous devrez vous assurer de la minimisation des données (article 5.1.c) ; c’est-à-dire ne composer qu’avec des données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Plus clairement, être en mesure de justifier de la pertinence de chaque donnée présente.

Un exemple précis peut s’effectuer au niveau du recrutement ; demander un numéro de sécurité sociale ou des précisions sur la situation matrimoniale d’un candidat n’est pas pertinent au regard de la finalité du traitement.

Il est donc fortement conseillé de mettre à jour votre Système d’information de gestion des ressources humaines (SIRH) pour qu’il remplisse les obligations du RGPD.

Demander le numéro de sécurité sociale lors d’un entretien d’embauche n’est pas pertinent

Si vous êtes une entreprise de moins de 250 salariés, vous avez toujours la possibilité de déléguer au Data Protection Officer (DPO), rôle sur lequel un dossier plus détaillé a été consacré. Le recours au DPO est obligatoire dans certains cas.

Enfin, le 31 janvier 2018 a été présentée la Charte Éthique et Numérique RH par le Lab RH et la confédération syndicale CFE-CGC à laquelle vous pouvez vous référer en matière de protection des données personnelles dans le cadre de la gestion des ressources humaines.

Sachez cependant que si votre rôle de DRH est de participer à la bonne mise en oeuvre du RGPD en sein de l’entreprise, la responsabilité finale reviendra toujours à l’employeur.

Partager sur les réseaux sociaux