Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27
avril 2016 relatif à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre circulation
de ces données

Les entreprises ont été sensibilisées à la loi no 78-17 dite «
Informatique et Libertés » ces dernières années par l’approche
pédagogique de la Cnil qui a facilité les processus de déclaration.
Nombre d’entreprises devraient donc bien assimiler les dispositions du
RGPD au regard des traitements des données personnelles de leurs
clients, prospects ou partenaires.

QU’EN EST-IL DES TRAITEMENTS DES DONNÉES PERSONNELLES DES SALARIÉS ?

Rappelons que les employeurs ont à traiter des données « très
personnelles » (numéro de sécurité sociale, état de santé, situation
matrimoniale, etc.) qualifiées parfois de « sensibles » et que
l’actualité révèle des pratiques opposées aux objectifs du RGPD.

Ainsi en 2008, le discounter allemand LIDL a écopé d’une amende
de 1,5 millions d’euros pour avoir engagé des détectives privés pour
surveiller les salariés à l’aide de micro-caméras et rédiger des
rapports sur leur vie privée.

Dix ans plus tard, les salariés d’IKEA portent plainte contre
leur employeur qui aurait fait appel aux services d’une société de
sécurité pour se renseigner sur le profil de certains d’entre eux.

La porosité accrue de la frontière vie professionnelle/ vie
privée et le développement des technologies de contrôle et de
surveillance au travail (caméras, logiciels, localisation, réseaux,
etc.) justifient l’inquiétude des employés.

En ce sens, le RGPD, qui s’applique aux entreprises,
associations, collectivités territoriales et administrations, entend
responsabiliser les acteurs et mieux protéger les individus.

Rappelons que juridiquement le responsable de traitement est « La
personne physique ou morale, l’autorité publique, le service ou tout
autre organisme, qui seul ou conjointement avec d’autres détermine les
finalités et les moyens du traitement des données à caractère personnel.
» (RGPD, art. 4).
L’étendue des traitements des données personnelles
des employés place donc l’employeur dans la position de responsable du
traitement dont les obligations sont renforcées par le RGPD. Les
employeurs doivent impérativement entrer dans la dynamique de la mise en
conformité, d’autant que les sanctions prévues sont désormais
réellement dissuasives.

L’ÉTENDUE DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL DES SALARIÉS

La relation employeur/salarié est en réalité plus propice à la
collecte de données personnelles qu’une relation entreprise/ client.

La
collecte des données des employés par l’employeur est constante et
régulière. Avant même de signer un contrat de travail, l’entreprise
détient d’ores et déjà certaines informations personnelles du candidat,
notamment au travers de son Curriculum Vitae et des différents tests
d’évaluations. Cette collecte de données se poursuit ensuite tout au
long de la carrière du salarié (déclarations sociales et fiscales,
arrêts maladie, échanges de correspondances etc.).
Les données
collectées sont également variées car la finalité des traitements opérés
par l’employeur est très étendue pour couvrir l’ensemble de ses
obligations contractuelles et légales, notamment au niveau fiscal et
social. Les données isolées qui ne sont pas à proprement parler des
données à caractère personnel, tel le lieu de naissance ou la situation
matrimoniale, doivent dans la plupart des cas être traitées comme telles
car, recoupées avec d’autres informations disponibles sur un même
système informatique, elles permettent en réalité d’identifier l’employé
concerné par l’effet dit de « l’interconnexion des données ».

L’application territoriale du RGPD doit être prise en compte. Dès
lors qu’un seul salarié réside dans un pays européen, l’employeur devra
respecter à son égard les règles édictées par le RGPD. Cette règle a
des conséquences importantes notamment pour les entreprises
internationales basées en dehors de l’Union européenne ou pour les
groupes au sein desquels les données des employés circulent dans des
entités géographiquement très éloignées.

Le RGPD consacrant le principe « d’accountability », l’entreprise
est acteur et responsable de sa mise en conformité et supporte la
charge de la preuve. C’est donc l’ensemble des services RH des
entreprises européennes et des entreprises étrangères ayant des employés
en Europe qui est concerné par la mise en conformité au RGPD avant le
25 mai 2018.

Il convient de mentionner l’article 88 du RGPD qui autorise les
Etats membres, en matière de législation sur le travail, à prévoir par
la loi ou au moyen de conventions collectives, des règles plus
spécifiques pour assurer la protection des droits et libertés dans le
cadre des relations de travail. Ces règles devront intégrer « des
mesures appropriées et spécifiques pour protéger la dignité humaine, les
intérêts légitimes et les droits fondamentaux des personne concernées »
en accordant une attention particulière à la transparence du traitement
et au transfert des données au sein des groupes d’entreprises.

MISE EN CONFORMITÉ ET MOYENS D’ACTIONS

Le RGPD vient consacrer certaines pratiques déjà existantes et
crée également de nouvelles obligations imposant aux employeurs
d’engager des actions concrètes pour anticiper son entrée en vigueur.

L’établissement d’un registre des traitements

Le RGPD allège le processus déclaratif initié par la Cnil et
prévoit l’obligation de tenir un registre des traitements de données qui
devra être mis à disposition de l’autorité administrative compétente
(RGPD, art. 30).

L’établissement de ce registre requiert des services RH le
recensement de l’ensemble des données personnelles des employés
collectées puis la cartographie des traitements opérés sur ces données.

Si cette obligation n’est valable que pour les entreprises de
plus de 250 salariés, elle apparaît toutefois précieuse pour optimiser
les traitements des données, garantir leur sécurité et faire office de
preuve le cas échéant.

Le registre devra répertorier l’ensemble des traitements relatifs
aux ressources humaines, en déterminer la finalité et prévoir les
mesures de sécurité adéquates. À cette fin, il devra notamment contenir :

L’élaboration et l’actualisation du registre peuvent paraître
lourdes. Cependant ce document permet d’organiser de façon structurée
les modalités du traitement des données des employés et facilite
l’exercice de leurs droits à modifier, rectifier ou supprimer tout ou
partie de leurs données personnelles.

L’information et le consentement préalable des employés

Concrètement, les employés doivent être informés du traitement de
leurs données personnelles de façon claire et précise. Cette
information peut se faire sur plusieurs supports tels que le règlement
Intérieur de l’entreprise ou encore le contrat de travail et contient,
de manière non exhaustive :

La collecte de certaines données (photographie du salarié par
exemple) imposera l’obtention du consentement préalable de l’employé
concerné. Ce consentement devra être recueilli de façon explicite et non
équivoque pour les traitements concernés, notamment par un écrit ou une
case à cocher (RGPD, art. 7).

L’exigence de minimisation des données personnelles collectées

Si l’employeur est amené à traiter un nombre important de données
personnelles, il doit pour autant et conformément à l’article 5 du
RGPD, ne traiter que les données nécessaires à l’objectif pour lequel il
traite ces données.

Par exemple, lors de la phase de recrutement d’un employé, les
données collectées devront être limitées à celles strictement
nécessaires à l’évaluation des capacités du candidat à occuper le poste
proposé. Par conséquent, les formulaires de candidature ne peuvent
imposer la divulgation de la situation matrimoniale d’un candidat ou
l’étendue de sa paternité.

Des modalités particulières sont par ailleurs prévues pour les
emplois où un extrait du casier judiciaire est nécessaire. Dans ce cas,
l’employeur a l’interdiction de conserver ledit extrait ou des notes
relatives à celui-ci.

L’obligation de garantir la sécurité et la confidentialité des données personnelles collectées

Il s’agit de la pierre angulaire du RGPD, toute entreprise devant
garantir la protection des données personnelles des employés ainsi que
leur confidentialité. Le responsable du traitement doit déterminer et
mettre en place les mesures « techniques et organisationnelles »
nécessaires pour assurer la confidentialité des données personnelles des
employés afin d’éviter toute divulgation (RGPD, art. 32).

Outre les considérations techniques intégrant la sécurité
physique des lieux ou des serveurs et les dispositifs informatiques, se
pose également la question de savoir qui a accès aux données des
employés au sein de l’entreprise. En effet, on distingue habituellement
la personne chargée du recrutement de celle qui gère les paies, ou de
celle qui traite des données de santé des employés. Dès lors, ces
différents opérateurs ne doivent pas avoir accès aux mêmes données
personnelles et l’employeur doit définir clairement les personnes et les
données auxquelles elles ont légitimement accès, et cloisonner
informatiquement ces accès.

Les mesures organisationnelles passent d’ailleurs par la
sensibilisation du personnel à la sécurité des données. Elles peuvent
constituer en l’élaboration d’un référentiel interne sur les méthodes de
traitement au sein de l’entreprise, la mise en œuvre de procédures
spécifiques à l’identification des nouveaux traitements, etc.

Enfin, à compter de l’entrée en vigueur du RGPD, toute faille de
sécurité devra être signalée dans un délai de 72 heures à l’autorité de
contrôle compétente (la Cnil en France) ainsi qu’à l’employé concerné
(RGPD art. 33 et 34).

La reconnaissance du droit de l’employé sur ses données personnelles

Le RGPD créé également de nouveaux droits comme le droit à la
portabilité des données personnelles ou le droit à l’oubli. Tout employé
pourra saisir son service RH (ou la personne désignée) pour exercer les
droits qu’il détient sur ses données personnelles. Sa demande devra
être suivie d’une réponse dans le mois, ce qui implique la mise en place
de mesures techniques adaptées pour respecter ce délai (RGPD, art. 3).
L’employeur
doit donc mesurer la problématique du stockage de ces données puisqu’il
devra connaître leur emplacement exact afin de répondre efficacement
aux demandes des employés.

La durée de conservation des données personnelles des employés

Les données personnelles des employés ne peuvent être conservées que pour la durée nécessaire (RGPD, art. 5) :

À titre d’illustrations, les données collectées sur un candidat
non retenu à l’embauche doivent être effacées deux ans après le dernier
contact et les données personnelles d’un salarié relatives à la paie ne
peuvent être conservées au-delà de cinq ans.

La désignation d’un « Data Protection Officer »

Garantir la sécurité des données à caractère personnel nécessite
une organisation technique très lourde. Pour les employeurs, le
caractère sensible et le spectre important des données traitées
complexifient la mise en conformité au RGPD.

Dans ce contexte, le RGPD généralise l’actuel « Correspondant
Informatique et Libertés » (CIL) et introduit de manière pérenne un
nouvel acteur auprès ou au sein des entreprises : le DPO ou Délégué à la
Protection des données personnelles. Ce dernier aura en charge la
gestion cohérente et conforme du traitement des données personnelles.

La désignation d’un DPO sera obligatoire dès lors que les
entreprises effectueront des traitements à grande échelle de suivi
régulier et systématique des personnes ou de données sensibles. Il le
sera également pour le secteur public, quel que soit la nature du
traitement (RGPD art. 37).

Quand bien même la désignation d’un DPO n’est pas obligatoire
pour toutes les entreprises, la complexité technique du traitement des
données, a fortiori celle des employés, et l’étendue des obligations
rend la désignation du DPO plus qu’opportune.

L’étendue des attributions du DPO fait de lui le « chef
d’orchestre » de la conformité de l’entreprise au RGPD. Il aura
notamment pour mission d’apporter ses expertises techniques et
juridiques sur les mesures de sécurité adéquates à mettre en place. Il
sera surtout l’interlocuteur privilégié des salariés et de la Cnil pour
toutes les questions relatives aux données personnelles.

Si le « DPO » peut être un salarié de l’entreprise ou un
prestataire extérieur (avocat, conseil ou prestataire spécialisé), il
convient de désigner une personne dédiée exclusivement à cette tâche
pour éviter notamment la notion de conflit d’intérêt ou de mettre à mal
son indépendance dans le cadre de la relation employé/employeur.

Notre point de vue : les services RH ont un travail considérable à
mener en 2018 pour mettre en conformité les process internes avec la
nouvelle réglementation. Ne doutons pas que la bienveillance des
autorités administratives est terminée, les attentes des individus et
notamment des employés sur l’utilisation de leurs données personnelles
étant plus que perceptibles. En cas de difficultés pour la mise en œuvre
de la conformité, il est fortement conseillé aux entreprises de faire
réaliser un audit par des professionnels du droit et de la sécurité
informatique.

Auteur : Servane Fischer , Juriste, Avoxa Rennes, Ronan Kervadec , Avocat associé, Avoxa Paris