Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est la nouvelle règlementation qui s’applique à la gestion des données des particuliers au sein des entreprises en Europe. Cependant, le RGPD ne se limite pas seulement à ce que Facebook, Google ou autres sociétés comptent faire de vos données, mais définit clairement aussi le droit des salariés en entreprise. Il implique donc plusieurs changements majeurs dans l’organisation des RH ainsi qu’en ce qui concerne les responsabilités de l’employeur.
RGPD : les obligations de l’employeur
Avant tout, le RGPD mentionne clairement que c’est à l’employeur de mettre en œuvre la protection des données, puisqu’il sera considéré comme le responsable du traitement. Le dirigeant doit donc s’assurer que les outils et technologies utilisés sont en conformité avec la règlementation sur les données personnelles. Par exemple, il doit systématiquement vérifier les logiciels utilisés dans le cadre de la gestion des RH, afin que ceux-ci offrent les fonctionnalités imposées par le RGPD :
• la rectification et la suppression (voire suppression définitive) des données inexactes,
• la sécurisation des données,
• la possibilité de répondre aux demandes spécifiques des salariés concernant leurs données.
RGPD : les réflexes à adopter
Avant la mise en vigueur du RGPD, la CNIL a publié un guide pratique pour aider les entreprises à se mettre en conformité avec le règlement. La CNIL en a ainsi profité pour rappeler que les entreprises qui ne se mettent pas aux normes rapidement risquent de payer des pénalités. Dans le guide pratiqué proposé, la CNIL propose 6 bons réflexes qui constituent un bon commencement en matière de protection des données personnelles des salariés :
• dès l’embauche d’un salarié, ne collecter que les données nécessaires,
• être transparent en amont de la collecte des données, et délivrer une information claire envers les salariés,
• penser aux droits des personnes,
• maîtriser les données collectées,
• identifier les risques liés à la gestion des données,
• sécuriser les données.
Les clauses juridiques concernant les droits des salariés
Différentes clauses prévues par le RGPD doivent être prises en compte et respectées par l’employeur, le service RH et les dirigeants de l’entreprise.
Justifier la finalité du traitement des données des salariés
Bien évidemment, l’entreprise a besoin de collecter et de traiter des données dans le cadre de la gestion de son personnel. Cependant, elle doit aussi justifier de la collecte et du stockage des données vis-à-vis d’autres points, comme la gestion de la paie et des notes de frais, de l’accès aux outils, de l’administration du personnel…
Les fondements juridiques justifiant le traitement des données des salariés
La CNIL n’accepte désormais la collecte et le traitement des données concernant les salariés que si collecte et traitement possèdent un fondement juridique. Autrement dit, chaque entreprise doit être en mesure de fournir une justification juridique avant de procéder à la collecte de données. Elle peut, par exemple, se baser sur les obligations en matière d’exécution du contrat de travail ou encore sur les intérêts légitimes poursuivis par l’entreprise. Pour rappel, le seul consentement des salariés ne constitue pas un motif juridique valable aux yeux de la loi.
Informer les salariés sur la durée de stockage des données
L’employeur est désormais tenu de fournir à ses salariés un certain nombre d’informations concernant le traitement de leurs données personnelles, comme la durée de conservation des données. En effet, le RGPD impose que la durée de stockage soit limitée au minimum nécessaire à la finalité du traitement des données. Le plus souvent, les entreprises limitent cette durée à 5 ans après le terme du contrat de travail.
Identifier l’entité chargée du traitement des données des salariés
Les clauses du RGPD concernent notamment les données de salariés transmises par l’entreprise à des tiers, comme les sous-traitants ou prestataires externes en matière de paie ou de services externalisés. Pour les données transférées hors de l’Union européenne, l’entreprise doit mettre en place des mesures de protection spécifiques. À noter que les prestataires externes à l’entreprise doivent aussi respecter les nouvelles obligations du RGPD.
C’est souvent là que le bât blesse car les entreprises ignorent souvent qui sont leurs sous-traitants et à quels sous-traitants eux-mêmes font appel, notamment en matière de traitements informatiques.
A titre d’exemple, les hébergeurs sont des sous-traitants concernés par le RGPD et les systèmes qui assurent les envois de mail ou la sécurité informatique chez ces hébergeurs sont aussi des sous-traitants..
Chaque entreprise devrait au minimum avoir de la part de tous ces intervenants, l’assurance écrite que les données qui passent par eux sont sécurisées, anonymisées et traitées de manière conforme au RGPD.
Les analyses d’impact relatives à la protection des données
Cette clause plus pointue permettra d’évaluer si la gestion et le traitement des données comportent un risque élevé pour les droits et libertés de chaque salarié. Sont par exemple compris dans cette clause les prises de décisions automatisées, la surveillance systématique des salariés.
Les droits d’accès et de rectification et le droit à l’oubli
Comme tous les individus en général, les salariés doivent bénéficier d’un droit d’accès à leurs données, ainsi qu’un droit de rectification et un droit à l’oubli concernant leurs données personnelles. Le droit à l’oubli, en particulier, peut être facultatif pour l’employeur si les périodes de prescription relatives aux contentieux salariés ne sont pas écoulées.
Le droit d’accès est souvent problématique car peu d’entreprises indiquent concrètement à qui s’adresser et comment les salariés peuvent vérifier les données personnelles que l’entreprise possède sur eux.
La mise à jour régulière des notes d’informations concernant les données des salariés
L’employeur est tenu d’informer régulièrement les salariés sur leurs droits concernant la gestion de leurs données, les fondements juridiques applicables, la finalité du traitement ainsi que les destinations de ces données.