le 26/06/2019

RGPD et protection des données RH

La nouvelle obligation : L’entrée en vigueur du décret du 29 mai 2019 achève au niveau réglementaire le travail d’adaptation du droit français au droit de l’UE du règlement général sur la protection des données (RGPD). Entré en vigueur depuis le 25 mai 2018, c’est aujourd’hui l’occasion de revenir sur quelques mesures concrètes devant être mise en place dans l’entreprise et plus particulièrement au sein des services RH concernant la gestion des données personnelles des salariés.

L’entrée en vigueur du RGPD a renforcé le traitement des données personnelles des salariés et est devenu un challenge quotidien pour le service RH. En effet, du recrutement au départ des salariés, mais aussi tout au long de la carrière du salarié de nombreuses données personnelles sont collectées et ont vocation à être exploitées.

 

Les Apports : Le RGPD oblige notamment l’employeur à garantir la sécurité et la confidentialité des données personnelles collectées, informer et dans certains cas obtenir le consentement préalable des salariés (et candidats), collecter les données personnelles nécessaires, établir un registre des activités de traitement et désigner un délégué à la protection des données.

A titre d’exemple, on peut observer, après un an de mise en œuvre, que le registre de traitement des données, prend le plus souvent la forme d’un tableau, le RGPD n’exigeant aucune forme spécifique. Il doit, selon le modèle mis en ligne par la CNIL, recenser notamment le nom de l’entreprise et les coordonnées des responsables du traitement, les personnes concernées par les données traités, le type de données traitées (identité, situation de famille, données bancaires, données de connexion…), les catégories de destinataires auxquels les données vont être communiquées, les délais prévues pour l’effacement, une description générale des mesure de sécurité techniques et organisationnelles mises en œuvre dans l’entreprise. Afin de pouvoir mettre en place cet outil, il est préalablement nécessaire de faire l’inventaire de l’ensemble des données personnelles détenues par l’entreprise et en, conséquence de faire le point avec l’ensemble des équipes ayant vocation à traiter de ces données (par exemple service recrutement, paye, formation…).

Aussi, pour rappel, un délégué à la protection des données doit être mis en place dans un certain nombre d’entreprise et est lorsqu’il n’est pas obligatoire un véritable atout au regard de la complexité technique du traitement des données et de l’étendue des obligations. La simplicité de la désignation de ce dernier, celle-ci s’effectuant en ligne, incite d’ailleurs les entreprises à en désigner un ! Les entreprises souhaitant mettre en place cet acteur en leur sein sont invitées à informer les salariés de cette création. Cette désignation devra faire l’objet d’une communication dans l’entreprise et afin de garantir son efficacité un dialogue régulier avec la Direction devra être instauré.

 

Premier bilan : Globalement, le constat est le suivant : les entreprises et leurs services RH s’approprient le dispositif RGPD et les particuliers sont plus sensibles à la protection des données. Depuis l’entrée en vigueur du RGPD, les contrôles de la CNIL se sont multipliés mais étaient effectuée avec « bienveillance ». Le 15 avril, la présidente de la CNIL a annoncé « la fin d’une forme de tolérance » s’agissant du contrôle de la mise en œuvre du RGPD. Désormais, les contrôles seront effectués pleinement et en cas de manquement des mesures de mise en demeure ou de sanctions seront prises. Les entreprises ont donc tout intérêt à s’assurer de leur mise en conformité !

 

Par Clara Bellest, Avocate à la cour