le 18/09/2018

Protection des données personnelles et droit social

Avec le RGPD, l’Union européenne a voulu donner au citoyen un droit de regard sur la collecte de ses données à caractères personnelles.

Ce citoyen, en tant que salarié, doit également voir ses droits protégés dans sa relation de travail. Ainsi, l’employeur, en tant que collecteur d’informations personnelles, a de nouvelles obligations issues du RGPD.

Plusieurs actions s’imposent à l’employeur pour assurer sa mise en conformité.   

 Désigner un « délégué à la protection des données » (DPD)

La désignation d’un DPD est obligatoire pour les organismes publics et les entreprises dont l’activité amène à réaliser un suivi régulier et systématique des personnes à grande échelle, à  traiter de données sensibles ou relatives à des condamnations pénales et infractions.

Toutefois, même si la désignation d’un DPD n’est pas formellement obligatoire pour toutes les entreprises, la complexité technique du traitement des données et l’étendue des obligations rend la désignation du DPD plus qu’opportune.

L’étendue des attributions du DPD fait de lui le « chef d’orchestre » de la conformité de l’entreprise au RGPD. Il aura notamment pour mission d’apporter ses expertises techniques et juridiques sur les mesures de sécurité adéquates à mettre en place. Il sera surtout l’interlocuteur privilégié des salariés et de la CNIL pour toutes les questions relatives aux données personnelles.

Il convient de précision que le « DPD » peut être désigné en interne parmi les salariés de l’entreprise ou en externe, via un prestataire extérieur (avocat, conseil ou prestataire spécialisé).

Il est conseillé de désigner une personne dédiée exclusivement à cette tâche pour éviter notamment la notion de conflit d’intérêts, ou la mise à mal de son indépendance dans le cadre de la relation employé/employeur. Par ailleurs, il est fortement conseillé aux entreprises de faire réaliser un audit par des professionnels du droit et de la sécurité informatique afin d’éviter toute difficulté liées à la mise en œuvre et au contrôle du traitement des données.

 Etablir un registre des activités de traitement

Le RGPD prévoit l’obligation pour les entreprises de plus de 250 salariés de tenir un registre des traitements de données qui devra être mis à disposition de l’autorité administrative compétente.

L’objectif est d’identifier les activités principales de l’entreprise qui nécessitent la collecte et le traitement de données. A titre d’illustrations en ce qui concerne la gestion des ressources humaines, le recrutement, la gestion de paie, la formation, les déclarations sociales, etc, sont des activités qui engendrent la collecte d’informations personnelles.

Le registre devra répertorier l’ensemble des traitements relatifs aux ressources humaines, en déterminer la finalité et prévoir les mesures de sécurité adéquates. À cette fin, il devra notamment contenir :

  • les noms et coordonnées des responsables du traitement et des sous-traitants ;
  • les personnes concernées par le traitement et les données traitées ;
  • les mesures de sécurité techniques et organisationnelles mises en place.

L’élaboration et l’actualisation du registre peuvent paraître lourdes. Cependant ce document permet d’organiser de façon structurée les modalités du traitement des données des employés et facilite l’exercice de leurs droits à modifier, rectifier ou supprimer tout ou partie de leurs données personnelles. Dans ce contexte, même si cette obligation n’est en principe valable que pour les entreprises de plus de 250 salariés, elle est vivement conseillée pour toutes les entreprises en ce qu’elle permet de  garantir la sécurité des données collectées.

  Informer et dans certains cas obtenir le consentement préalable des salariés (et candidats)

Concrètement, les salariés doivent être informés du traitement de leurs données personnelles de façon claire et précise. Cette information peut se faire sur plusieurs supports tels que le règlement Intérieur de l’entreprise ou encore le contrat de travail et contient, de manière non exhaustive :

  • les modalités du traitement et ses finalités ;
  • un rappel des droits de l’employé sur ses données ;
  • si les données peuvent faire l’objet d’un transfert à une autre entité juridique (au sein d’un Groupe d’entreprises par exemple).

Il faut souligner que la collecte de certaines données (photographie du salarié par exemple) imposera l’obtention du consentement préalable de l’employé concerné. Plus particulièrement, ce consentement devra être recueilli de façon explicite et non équivoque pour les traitements concernés, notamment par un écrit ou une case à cocher.

 Ne collecter que des données personnelles nécessaires

Si l’employeur est amené à traiter un nombre important de données personnelles, il doit pour autant, ne traiter que les données nécessaires à l’objectif pour lequel il traite ces données.

Par exemple, lors de la phase de recrutement d’un employé, les données collectées devront être limitées à celles strictement nécessaires à l’évaluation des capacités du candidat à occuper le poste proposé. Par conséquent, les formulaires de candidature ne peuvent imposer la divulgation de la situation matrimoniale d’un candidat ou l’étendue de sa paternité/maternité.

Des modalités particulières sont par ailleurs prévues pour les emplois où un extrait du casier judiciaire est nécessaire. Dans ce cas, l’employeur a l’interdiction de conserver ledit extrait ou des notes relatives à celui-ci.

 Garantir la sécurité et la confidentialité des données personnelles collectées

Les entreprises devront prendre toutes les mesures techniques et organisationnelles pour assurer la confidentialité des données à caractère personnel et éviter toute divulgation à des tiers non autorisés.

Concernant les mesures organisationnelles, on peut citer la désignation d’un DPD, le contrôle de l’accès aux locaux hébergeant les serveurs, l’adoption d’une charte ou encore la mise en œuvre de procédures spécifiques à l’identification des nouveaux traitements, etc.

S’agissant des mesures techniques pouvant être mises en œuvres, cela peut être les mises à jour des antivirus et logiciels, changement régulier des mots de passe, chiffrement des données dans certaines situations, etc.

En outre, désormais toute faille de sécurité devra être signalée dans un délai de 72 heures à l’autorité de contrôle compétente (la Cnil en France) ainsi qu’à l’employé concerné. Cette notification s’effectue en ligne sur le site internet de la CNIL.

Le RGPD crée également de nouveaux droits comme le droit à la portabilité des données personnelles ou le droit à l’oubli. Tout employé pourra saisir son service RH (ou la personne désignée) pour exercer les droits qu’il détient sur ses données personnelles. Sa demande devra être suivie d’une réponse dans le mois, ce qui implique la mise en place de mesures techniques adaptées pour respecter ce délai.

L’employeur doit donc mesurer la problématique du stockage de ces données puisqu’il devra connaître leur emplacement exact afin de répondre efficacement aux demandes des employés.

 

 Respecter la durée de conservation des données personnelles des salariés (et candidats)

Le RGPD rappelle que les données personnelles des salariés ne peuvent être conservées que pour la durée nécessaire :

  • à l’exécution de leur contrat de travail ;
  • et/ou au respect d’obligations légales (fiscales par exemple) ;
  • et/ou à l’accomplissement de l’objectif qui était poursuivi lors de leur collecte.

À titre d’illustrations, les données collectées sur un candidat non retenu à l’embauche doivent être effacées deux ans après le dernier contact et les données personnelles d’un salarié relatives à la paie ne peuvent être conservées au-delà de cinq ans.