ACTUALITES
RGPD et Traitement RH

 

L’application, à compter du 25 mai 2018, du règlement européen 2016/679 du 24 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») va impacter significativement les modalités de gestion des données personnelles des salariés en possession de l’employeur (curriculum vitae, test d’évaluations, numéro de sécurité sociale, déclarations sociales et fiscales, arrêts maladie...).

 Il impose ainsi la mise en œuvre d’actions concrètes qui vont nécessairement conduire les services RH à adapter leurs méthodes de fonctionnement.

 

  •  Etablissement d’un Registre des activités de traitement

 

 

Le RGPD prévoit la mise en place d’un registre des activités de traitement (contrepartie de l’allégement des obligations déclaratives issues de la Loi Informatique et Liberté) qui devra répertorier toutes les informations relatives aux caractéristiques des traitements de données.

 

Au plan RH, il devra recenser l’ensemble des données personnelles des salariés collecté et cartographier les traitements opérés sur ces données (en précisant notamment la finalité des données collectées et les mesures de sécurité retenues), en mentionnant notamment :

 

  • L’identité et les coordonnées du responsable du traitement,
  • La finalité des traitements de données en œuvre dans l’entreprise,
  • Les catégories de personnes concernées,
  • Les catégories de données à caractère personnel conservées,
  • Les catégories de destinataires visés,
  • L’éventuel transfert de données personnelles vers un pays tiers,
  • Les délais prévus pour l’effacement,
  • La description générale des mesures de sécurité techniques et organisationnelles

 

  • Information et consentement préalable des salariés

 

 Les salariés doivent être informés du traitement de leurs données personnelles de façon claire et précise.

 

Cette information peut intervenir notamment via le Règlement Intérieur ou le contrat de travail et doit préciser :

  •  les modalités du traitement et ses finalités,
  • les droits dont dispose le salarié sur ces données,
  • la possibilité que les données puissent faire l’objet d’un transfert à une autre entité juridique, au sein d’un Groupe d’entreprise par exemple.

Par ailleurs, un consentement exprès doit être recueilli pour le traitement de certaines données sensibles telles que la collecte de photographies.

 

Il y a donc là des ajouts aux exigences préexistantes.

 

  • Minimisation des données personnelles collectées

 

 

Il s’agit là d’un principe qui doit guider l’employeur dans le traitement au quotidien des données personnelles de ses salariés, en veillant à ne collecter que les données strictement nécessaires à son objectif.

 

  • Obligation de garantir la sécurité et la confidentialité des données personnelles collectées

 

 

Au-delà des garanties techniques relatives à la sécurité physique des lieux ou des serveurs informatiques, l’employeur doit veiller à cloisonner l’accès aux données (notamment de manière informatique) : si certains salariés peuvent avoir accès à certaines données personnelles (les salariés en charge de la paie, du recrutement...), ils ne doivent avoir accès qu’aux seules données nécessaires à l’exécution de leurs missions.

 

Par ailleurs, à compter du 25 mai 2018, date d’entrée en vigueur du RGPD, toute faille de sécurité devra être signalée dans un délai de 72 heures à la CNIL et au salarié concerné.

 

  • Droit du salarié sur ses données personnelles

 

 

Le RGPD créé un droit à la portabilité des données personnelles et un droit à l’oubli.

 

Dans l’hypothèse d’une telle demande, l’employeur devra apporter une réponse sous un mois.

 

Durée de conservation des données personnelles des salariés

 

Les données personnelles doivent être conservées pour la durée nécessaire :

  • à l’exécution du contrat de travail,
  • au respect des obligations légales (sociales et fiscales),
  • à l’accomplissement de l’objectif poursuivi lors de la collecte.

 

Ainsi, et pour exemple, les données concernant un candidat non retenu doivent être supprimées au bout de deux ans, et les données d’un salarié relatives à la paie ne peuvent être conservées au-delà de 5 ans.

  

 

Le Délégué à la Protection des Données Personnelles devra veiller au suivi et au traitement des données collectées.

 

Il a ainsi vocation à devenir l’interlocuteur privilégié des salariés (qui pourraient solliciter l’effacement de données par exemple) et de la CNIL en charge du contrôle de l’application du RGPD.

  

Enfin, il faut rappeler que l’entreprise que ne se conformerait pas aux obligations posées par le RGPD s’exposerait à une amende allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.


Share |