Ressources Humaines : L’impact du RGPD sur la gestion des données personnelles des salariés

Ressources Humaines : L’impact du RGPD sur la gestion des données personnelles des salariés

Les RH (ressources humaines) constituent le pilier d’une entreprise. Elles ont accès à des informations sensibles et bénéficient d’un pouvoir décisionnel certain surtout à l’ère d’une culture d’entreprise plus connectée.

Dans ce contexte, la nouvelle règlementation en matière de données personnelles (RGPD) a pour effet de rétablir un équilibre dans un objectif constant de protection des individus.

LE TRAITEMENT DES DONNÉES PERSONNELLES DES SALARIÉS ?

Les employeurs ont à traiter des données personnelles de leurs salariés, données qualifiées parfois de « sensibles » et dont certains usages peuvent s’avérer opposées aux objectifs du RGPD :

– numéro de sécurité sociale
– état de santé
– situation matrimoniale, etc…

La réduction accrue de la frontière entre vie professionnelle/ vie privée et le développement des technologies de contrôle et de surveillance au travail (caméras, logiciels, localisation, réseaux, badges, …) justifient l’inquiétude des employés.

En ce sens, le RGPD, qui s’applique aux entreprises, associations, collectivités territoriales et administrations, entend responsabiliser les acteurs et mieux protéger les individus.

LE RESPONSABLE DU TRAITEMENT

le responsable de traitement est « La personne physique ou morale, l’autorité publique, le service ou tout autre organisme, qui seul ou conjointement avec d’autres détermine les finalités et les moyens du traitement des données à caractère personnel.» (RGPD, art. 4).

L’étendue des traitements des données personnelles des employés place donc l’employeur dans la position de responsable du traitement dont les obligations sont renforcées par le RGPD. Les employeurs doivent impérativement entrer dans la dynamique de la mise en conformité, d’autant que les sanctions prévues sont désormais réellement dissuasives.

LE RGPD & Le PRINCIPE DE RESPONSABILITE

L’application territoriale du RGPD doit être prise en compte.
Dès lors qu’un seul salarié réside dans un pays européen, l’employeur devra respecter à son égard les règles édictées par le RGPD.

Le RGPD consacrant le principe « d’accountability » (responsabilité), l’entreprise est acteur et responsable de sa mise en conformité et supporte la charge de la preuve.

C’est donc l’ensemble des services RH des entreprises européennes et des entreprises étrangères ayant des employés en Europe qui est concerné par la mise en conformité au RGPD.

Cette règle a des conséquences importantes notamment pour les entreprises internationales basées en dehors de l’Union européenne ou pour les groupes au sein desquels les données des employés circulent dans des entités géographiquement très éloignées.

MISE EN CONFORMITÉ ET MOYENS D’ACTIONS : QUE DOIVENT FAIRE LES RH ?

Les actions à mettre en œuvre par le département des Ressources Humaines pour être en conformité avec le RGPD

Les actions à mettre en œuvre par le département des Ressources Humaines pour être en conformité avec le RGPD

A- L’établissement d’un registre des traitements

Le RGPD allège le processus déclaratif initié par la Cnil et prévoit l’obligation de tenir un registre des traitements de données qui devra être mis à disposition de l’autorité administrative compétente (RGPD, art. 30).

L’établissement de ce registre requiert des services RH le recensement de l’ensemble des données personnelles des employés collectées puis la cartographie des traitements opérés sur ces données.

Si cette obligation n’est valable que pour les entreprises de plus de 250 salariés, elle apparaît toutefois précieuse pour optimiser les traitements des données, garantir leur sécurité et faire office de preuve le cas échéant.

Le registre devra répertorier l’ensemble des traitements relatifs aux ressources humaines, en déterminer la finalité et prévoir les mesures de sécurité adéquates. À cette fin, il devra notamment contenir :

– les noms et coordonnées des responsables du traitement et des sous-traitants ;
– les personnes concernées par le traitement et les données traitées ;
– les mesures de sécurité techniques et organisationnelles mises en place.

AVANTAGES
Un bon registre des traitements permet d’organiser de façon structurée les modalités du traitement des données des employés et facilite l’exercice de leurs droits à modifier, rectifier ou supprimer tout ou partie de leurs données personnelles.

L’information et le consentement préalable des employés

Les employés doivent être informés du traitement de leurs données personnelles de façon claire et précise.
Cette information peut se faire sur plusieurs supports tels que le règlement Intérieur de l’entreprise ou encore le contrat de travail ou une campagne de communication interne.

les modalités du traitement et ses finalités

un rappel des droits de l’employé sur ses données ;
si les données feront l’objet d’un transfert à une autre entité juridique (au sein d’un Groupe d’entreprises par exemple).
La collecte de certaines données (photographie du salarié par exemple) imposera l’obtention du consentement préalable de l’employé concerné. Ce consentement devra être recueilli de façon explicite et non équivoque pour les traitements concernés, notamment par un écrit ou une case à cocher (RGPD, art. 7).

L’exigence de minimisation des données personnelles collectées

Si l’employeur est amené à traiter un nombre important de données personnelles, il doit pour autant et conformément à l’article 5 du RGPD, ne traiter que les données nécessaires à l’objectif pour lequel il traite ces données.

Par exemple, lors de la phase de recrutement d’un employé, les données collectées devront être limitées à celles strictement nécessaires à l’évaluation des capacités du candidat à occuper le poste proposé. Par conséquent, les formulaires de candidature ne peuvent imposer la divulgation de la situation matrimoniale d’un candidat ou l’étendue de sa paternité.

Des modalités particulières sont par ailleurs prévues pour les emplois où un extrait du casier judiciaire est nécessaire. Dans ce cas, l’employeur a l’interdiction de conserver ledit extrait ou des notes relatives à celui-ci.

L’obligation de garantir la sécurité et la confidentialité des données personnelles collectées

Il s’agit de la pierre angulaire du RGPD, toute entreprise devant garantir la protection des données personnelles des employés ainsi que leur confidentialité. Le responsable du traitement doit déterminer et mettre en place les mesures « techniques et organisationnelles » nécessaires pour assurer la confidentialité des données personnelles des employés afin d’éviter toute divulgation (RGPD, art. 32).

Outre les considérations techniques intégrant la sécurité physique des lieux ou des serveurs et les dispositifs informatiques, se pose également la question de savoir qui a accès aux données des employés au sein de l’entreprise. En effet, on distingue habituellement la personne chargée du recrutement de celle qui gère les paies, ou de celle qui traite des données de santé des employés. Dès lors, ces différents opérateurs ne doivent pas avoir accès aux mêmes données personnelles et l’employeur doit définir clairement les personnes et les données auxquelles elles ont légitimement accès, et cloisonner ces accès dans le système d’information.

La reconnaissance du droit de l’employé sur ses données personnelles

Le RGPD créé de nouveaux droits comme le droit à la portabilité des données personnelles ou le droit à l’oubli. Tout employé pourra saisir son service RH (ou la personne désignée) pour exercer les droits qu’il détient sur ses données personnelles. Sa demande devra être suivie d’une réponse dans le mois, ce qui implique la mise en place de mesures techniques adaptées pour respecter ce délai (RGPD, art. 3).

L’employeur doit donc mesurer la problématique du stockage de ces données puisqu’il devra connaître leur emplacement exact afin de répondre efficacement aux demandes des employés.

La durée de conservation des données personnelles des employés

Les données personnelles des employés ne peuvent être conservées que pour la durée nécessaire (RGPD, art. 5) :

à l’exécution de leur contrat de travail ;
et/ou au respect d’obligations légales (fiscales par exemple) ;
et/ou à l’accomplissement de l’objectif qui était poursuivi lors de leur collecte.
À titre d’illustrations, les données collectées sur un candidat non retenu à l’embauche doivent être effacées deux ans après le dernier contact et les données personnelles d’un salarié relatives à la paie ne peuvent être conservées au-delà de cinq ans.

La désignation d’un « Data Protection Officer »

Garantir la sécurité des données à caractère personnel nécessite une organisation technique très lourde. Pour les employeurs, le caractère sensible et le spectre important des données traitées complexifient la mise en conformité au RGPD.

Dans ce contexte, le RGPD généralise l’actuel « Correspondant Informatique et Libertés » (CIL) et introduit de manière pérenne un nouvel acteur auprès ou au sein des entreprises : le DPO ou Délégué à la Protection des données personnelles. Ce dernier aura en charge la gestion cohérente et conforme du traitement des données personnelles.

La désignation d’un DPO sera obligatoire dès lors que les entreprises effectueront des traitements à grande échelle de suivi régulier et systématique des personnes ou de données sensibles. Il le sera également pour le secteur public, quel que soit la nature du traitement (RGPD art. 37).

Le « DPO » peut être un salarié de l’entreprise ou un prestataire extérieur (avocat, conseil ou prestataire spécialisé), il convient de désigner une personne dédiée exclusivement à cette tâche pour éviter notamment la notion de conflit d’intérêt ou de mettre à mal son indépendance dans le cadre de la relation employé/employeur.

QUE FAIRE EN CAS DE CONSTAT D’UNE FAILLE ?

A compter de l’entrée en vigueur du RGPD, toute faille de sécurité devra être signalée dans un délai de 72 heures à l’autorité de contrôle compétente (la Cnil en France) ainsi qu’à l’employé concerné (RGPD art. 33 et 34).

emploi, News

Laisser un commentaire