RDPG : quels impacts pour les entreprises et leurs salariés ?

 

On entend par donnée personnelle toute information permettant d’identifier directement (nom, prénom) ou indirectement (numéro client, numéro de téléphone etc.) une personne.

Par ailleurs, un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent également être protégés.

 

Comment se mettre en conformité avec le RGPD ?

Le règlement repose sur les principes suivants. Les données à caractère personnel doivent être :

  • traitées de manière licite, loyale et transparente au regard de la personne concernée
  • collectées pour des finalités déterminées, explicites et légitimes,
  • adéquates, pertinentes et limitées (minimisation des données),
  • exactes et tenues à jour ;
  • conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités ;
  • traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle (intégrité et confidentialité).

 

Concrètement, les différentes actions à mener pour se conformer à ces principes sont les suivantes :

  1. Désigner un pilote : obligatoire que pour les organismes publics et les entreprises dont l’activité de base amène à réaliser un suivi régulier et systématique des personnes à grande échelle.
  2. Recenser les fichiers : L’obligation de tenir un registre des traitements de données personnelles ne concerne que les entreprises d’au moins 250 salariés mais la Cnil en préconise la réalisation de manière plus large.

L’objectif est d’identifier les activités principales de l’entreprise qui nécessitent la collecte et le traitement de données (exemples en ce qui concerne la gestion des ressources humaines : le recrutement, la gestion de la paie, la formation, les déclarations sociales obligatoires etc.).

Il s’agit de répertorier pour chaque activité recensée : – le responsable du traitement ; – l’objectif poursuivi ; – les catégories de données utilisées (exemple pour la paie : nom, prénom, salaire, etc.) ; – qui a accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ; – la durée de conservation de ces données, Le registre est placé sous la responsabilité du dirigeant de l’entreprise. La Cnil en propose un modèle sur son site Internet.

 

3. Repérer les traitements à risque :

Pour chaque traitement, il conviendra de vérifier :

– quelles ont été les circonstances de collecte des données : y-a-t-il eu consentement des personnes concernées ? Dans la négative la collecte répond-elle à des obligations particulières (collecte nécessaire au contrat, respect d’une obligation légale, par exemple le traitement de données relatives aux salariés pour les communiquer à la sécurité sociale ou l’administration fiscale…) ? ;

– quelle a été l’information délivrée aux personnes faisant l’objet de la collecte et du traitement : celles-ci ont-elles été informées de la finalité du traitement et de leurs droits ? ;

– la nature des données collectées au regard de la finalité du traitement : seules les données strictement nécessaires au traitement peuvent être collectées et traitées.

– que seules les personnes habilitées ont accès aux données dont elles ont besoin et que les données ne sont pas conservées au-delà de ce qui est né

 

4. Respecter le droit des personnes : Informer les salariés

Quel que soit le support de collecte utilisé (formulaire, questionnaire, etc.) celui-ci doit comporter les informations suivantes (RGPD art. 13 et 14) :

  • l’identité et les coordonnées du responsable du traitement
  • les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement
  • les catégories de données à caractère personnel concernées
  • le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel (service interne à l’entreprise, prestataire…) ;
  • la durée de conservation des données ;
  • les modalités selon lesquelles les intéressés peuvent exercer leurs droits (via leur espace personnel sur le site internet de l’entreprise, par un message sur une adresse email dédiée, par un courrier postal à un service identifié…) ;
  • en cas de transfert de données hors de l’Union européenne, l’indication du pays concerné, l’existence ou l’absence d’une décision d’adéquation rendue par la Commission européenne ou la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition.

 

Ces informations doivent être données :

dès la collecte des données dans le cas où celle-ci sont recueillies directement auprès du salarié (lors de l’embauche, par exemple) ; à au maximum un mois après cette collecte si les données sont recueillies de façon indirecte, auprès d’une autre source.

Elles n’ont pas à être fournies si le salarié en dispose déjà.

 

A noter : s’agissant plus particulièrement des relations de l’entreprise avec ses salariés, la Cnil préconise d’informer ces derniers à chaque fois qu’il leur est demandé des informations (exemples : mises à jour de données administratives, demande de formation, formulaire d’entretien d’évaluation etc.) ou lors de la mise en place d’un dispositif de surveillance, selon des modalités à déterminer selon l’organisation de l’entreprise (note de service, avenant au contrat de travail, information sur l’Intranet, courrier joint au bulletin de paie etc.)

 

Garantir les droits des salariés sur leurs données

Les salariés ont des droits sur leurs données : droit d’accès, de rectification, d’opposition, d’effacement (droit à l’oubli), droit à la portabilité et à la limitation du traitement.

Les moyens d’exercer effectivement leurs droits doivent être mis à leur disposition : formulaire de contact sur un site web, numéro de téléphone ou adresse de messagerie.

De façon générale, le RGPD impose de procéder à la suppression des données dès lors qu’elles ne sont plus utiles au regard des finalités pour lesquelles elles ont été collectées. En ce qui concerne plus particulièrement le recrutement, les informations sur les candidats non retenus doivent être supprimées sauf s’ils acceptent de rester dans le « vivier » de l’entreprise (durée de conservation limitée à 2 ans).

Le droit à limitation d’un traitement s’entend de la faculté pour une personne de demander à ce que le responsable du traitement ne puisse se servir de certaines données collectées.

 

5. Sécuriser les données :

Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données traitées et des risques qui pèsent sur les personnes en cas d’incident.

Différentes actions doivent être mises en place : mises à jour des antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement des données dans certaines situations.

L’entreprise victime d’une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou il a été constaté un accès non autorisé à des données) doit le signaler à la Cnil dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la Cnil.

Il faut aussi notifier à la ou les personnes concernées que leurs données ont été potentiellement mises en danger.

 

6. S’assurer, en cas de sous-traitance que le prestataire respecte le RGPD.

 

Cet article, à prédominance sociale, a vocation à s’appliquer à tous les domaines