RGPD et ressources humaines : PME, êtes-vous prêtes ?

Avec le très attendu « RGPD » (Réglement Général pour la Protection des Données, dernière directive européenne concernant les données personnelles, publiée en 2016), l’Union européenne a mis en place une nouvelle protection des données personnelles des salariés. Ce règlement sera applicable le 25 mai prochain. Au-delà de ses objectifs généraux, quels impacts va-t-il avoir sur l’organisation de votre entreprise ? Les chantiers prioritaires à mettre en place pour répondre aux demandes du RGPD…

Jusqu’à l’entrée en vigueur de cette nouvelle règle, le principe était assez simple ; dès qu’un fichier collectant des données personnelles était mis en place, l’employeur devait faire une déclaration à la Commission nationale Informatique et Libertés (Cnil), sous peine de sanctions pécuniaires. Ce n’est plus du tout l’esprit du règlement. En effet, avec le numérique, les traitements sont en constante évolution et la seule déclaration préalable ne suffit plus. La nouvelle logique ? Le responsable du traitement est tenu d’organiser une mise en conformité dynamique…

Les entreprises vont donc devoir s’organiser en mettant en place de nouveaux outils (analyses d’impacts, registre) et en installant, le plus souvent, un délégué à la protection des données (DPO, Data privacy officer).

Les services de gestion des ressources humaines (RH) vont être directement impactés. Le nombre d’informations personnelles collectées est important, et certaines de ces données peuvent avoir un caractère plus ou moins sensible. En effet, au-delà des simples coordonnées d’un candidat à l’embauche, le service RH peut avoir connaissance d’informations sur la santé des salariés de l’entreprise, par exemple. Et bientôt, avec la mise en place du prélèvement à la source (PAS), leur situation fiscale sera prise en compte…

Comment préserver la frontière entre vie personnelle et vie professionnelle ? Comment informer les candidats ou les salariés sur la collecte des données qui sont nécessaires à l’entreprise ? Quelle est la durée de conservation de ces données ? Il appartient aux entreprises de s’organiser afin de mettre en place les traitements dont elles ont besoin, tout en connaissant les limites qui s’imposent à ces collectes et à leur durée de conservation.

Les étapes à respecter…

Le RGPD entraîne nécessairement la mise en place d’une procédure interne qui doit respecter plusieurs étapes :
– identifier les registres à mettre en place, au regard des informations déjà recueillies et selon leur but ;
– détecter les données nécessaires au suivi du salarié au cours de sa vie dans l’entreprise, et connaître la durée de conservation de celles-ci ;
– mettre en place la procédure d’information des salariés et l’éventuel recueil de leur consentement ;
– assurer la sécurité permettant de garantir la confidentialité des données ;
– et décider de la mise en place d’un DPO (interne ou externe).

S’assurer du consentement des salariés

La mise en place de cette nouvelle organisation peut être l’occasion de se poser de nombreuses questions. D’un point de vue pratique, il convient a minima, dès à présent, d’organiser l’information des salariés et de s’assurer, le cas échéant, de leur consentement.

Le RGPD précise que cette information devra nécessairement porter sur :
– les coordonnées du DPO ;
– le fondement juridique du traitement ;
– le droit de la personne (notamment le droit à la limitation du traitement et à la portabilité) ;
– l’obligation de fournir les données et les conséquences du non-respect de cette obligation ;
– l’intention ou non d’effectuer un traitement des données à une autre fin ;
– la source de la collecte des données si elle n’est pas directe ;
– et les garanties en cas de transfert de données hors de l’Union européenne.

Concernant le consentement, il est nécessaire d’organiser la procédure qui permettra au responsable du traitement de s’assurer de la collecte de celui-ci, quand elle est nécessaire, et d’en garder la preuve.

Ainsi, il devient urgent pour les entreprises de se pencher sur la mise à jour des « outils » juridiques quotidiennement utilisés par les services RH, que ce soient les formalités liées au processus de recrutement, en passant par le contrat de travail, les diverses chartes existant dans l’entreprise, les dossiers individuels (suivi de la santé, formation, mandats, instances représentatives du personnel…), sans oublier le traitement du fichier des paies…

Anne MARLIERE-LEBOSSE, avocate associée, spécialiste en droit du travail

* Pour les services RH : normes simplifiées 46 et 42, autorisation unique AU-004 et dispense n°2, principalement


Ce que prévoit le RGPD. L’esprit général de ce règlement européen n° 2016/679 repose sur trois idées : un renforcement du droit des personnes, une responsabilisation du responsable des traitements, un renforcement des autorités de protection.


Le risque. En cas de non-respect des nouvelles obligations prévues par le RGPD, les sanctions financières peuvent être très lourdes : les amendes peuvent s’élever jusqu’à 20 millions d’euros, ou jusqu’à 4 % du chiffre d’affaires global annuel d’une entreprise.


Le RGPD en bref : les 4 chantiers prioritaires pour l’entreprise

A quelques semaines de l’entrée en vigueur de cette réglementation « historique », Samy Benarroch, président d’Arca Conseil, précise les chantiers que les entreprises doivent mettre en œuvre en priorité. « Il s’agit d’un défi de taille… En ce sens, la conformité au RGPD constituera peut-être à terme un véritable avantage concurrentiel » explique-t-il.

Chantier n°1 : la tenue d’un registre des données. Les entreprises devront répertorier toutes les données à caractère personnel collectées au sein d’un registre des traitements. Toutes les données qui ne seront plus nécessaires au regard des finalités initiales devront être supprimées. Dans ce cadre, un nouveau rôle voit le jour, celui du Data Protection Officer  ou responsable de la protection des données, garant du respect du RGPD au sein de l’entreprise.

Chantier n°2 : le respect du consentement libre et éclairé en matière de recueil des données personnelles.
Le consentement tel que défini  par le RGPD devra être libre, éclairé  et univoque. Les entreprises devront donc informer les utilisateurs de ces nouvelles modalités et mettre en place de nouveaux procédés pour recueillir leur consentement.

Chantier n°3 : la mise en place d’études d’impacts pour certains types de traitements de données.
Le RGPD impose la réalisation d’une étude d’impact pour tous les modes de traitement présentant « un risque élevé pour les droits et libertés des personnes physiques ». L’étude d’impact s’impose notamment quand le traitement des données produit des effets juridiques ou affecte particulièrement une personne physique.

Chantier n°4 : la mise à niveau des mesures garantissant la sécurité des données. Les entreprises restent libres de choisir les mesures appropriées pour garantir la sécurité des données. Le règlement offre néanmoins quelques pistes en énumérant  des mesures comme la pseudonymisation (opération visant à remplacer une donnée personnelle par un pseudonyme) et le chiffrement.

(DC)

@ Plus d’informations sur www.arca.fr


RGPD : se préparer en 6 étapes

Lire aussi les recommandations de la CNIL pour la mise en place du RGPD Lien direct

Le 25 mai 2018, le règlement européen sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité. Les recommandations de la CNIL… Lien direct

Qu'en pensez-vous ?

Votre adresse e-mail ne sera pas publiée.

Météo de l'Hérault
Hérault Tribune Pro Hérault Tribune Reportages

Depuis 1973, d’abord sous format magazine, puis via son site, Hérault Tribune informe le public des événements qui se produisent dans le grand Agathois, le Biterrois et le bassin de Thau.

 

logo hje

 

Depuis 1895, l’Hérault Juridique & Economique traite l’économie, le droit et la culture dans son hebdomadaire papier, puis via son site Internet. Il contribue au développement sécurisé de l’économie locale en publiant les annonces légales.