Le Règlement Général de Protection des Données (RGPD) prévoit de nouvelles obligations pour les entreprises. Mises en œuvre par les acteurs RH, ils sont les premiers impactés par ces changements. Une expertise de Françoise Albrieux, avocat associé en droit social et Charlotte Rascle, avocat en droit social du cabinet CMS Francis Lefebvre Lyon.

Le Règlement européen dit « RGPD » (Règlement Général de Protection des Données) – « GDPR » en anglais – sera applicable directement dans toute l’Union Européenne le 25 mai prochain.

Ce Règlement ne modifie pas de manière significative la notion de « données personnelles » qui vise les informations se rapportant à une personne physique, identifiée ou identifiable (comme le nom patronymique, les coordonnées téléphoniques, le numéro de sécurité sociale), ni la notion de « traitement » qui couvre toute opération portant sur de telles données (notamment la collecte, l’enregistrement, l’organisation, la consultation, l’utilisation).

Il prévoit toutefois de nouvelles obligations pour les entreprises.

Le nouveau cadre juridique unifié pour l’ensemble de l’Union européenne met en effet en place une véritable « administration de la conformité » à leur charge. Il impose ainsi au « responsable du traitement » d’adopter des règles internes et de mettre en œuvre les mesures adaptées permettant de garantir, et d’être à même de démontrer que le traitement des données à caractère personnel est effectué dans le respect de la réglementation.

Dans ce cadre, le responsable de traitement disposera le cas échéant de nouveaux outils (analyse d’impact, registre) et de nouveaux partenaires (les délégués à la protection des données).

S’assurer d’être en conformité avec le règlement

A quelques semaines de l’entrée en application du RGPD, les entreprises doivent se préparer et faire le point sur la transition vers ce nouveau cadre juridique en s’assurant de leur conformité au Règlement.

Etant amenés à collecter, traiter et stocker de nombreuses données à caractère personnel (voire sensible) les services Ressources Humaines sont tout particulièrement concernés. Ils doivent anticiper autant que possible l’application des dispositions du RGPD et s’attacher dès maintenant à vérifier la conformité de leurs traitements de données RH avec les nouvelles obligations et limites posées par celui-ci.

Dans le cadre de la relation de travail et du recrutement, de nombreuses données personnelles sont en effet recueillies et traitées, que ce soit via les outils informatiques, les dispositifs de géolocalisation, de vidéo-surveillance, ceux mis en place pour l’accès au locaux et le contrôle des horaires, le téléphone et les outils utilisés dans le cadre de la gestion du recrutement, du personnel et de la communication.

En pratique, la plupart des formalités préalables actuelles auprès de la CNIL vont disparaître au profit de la logique de conformité continue, le règlement ayant supprimé les formalités administratives préalables, sauf exception pour les traitements constituant un risque élevé pour la vie privée des personnes.

Le projet de loi opérant refonte de la Loi Informatique et Liberté française, qui a vocation à aligner la loi française avec le RGPD, adoptée en première lecture par l’Assemblée nationale le 13 février 2018, a dans cette logique supprimé le régime de déclaration préalable au traitement.

L’employeur n’aura donc plus à effectuer de déclarations normales ou simplifiées auprès de la CNIL pour des traitements effectués par le service RH si ces traitements ne présentent pas un risque élevé pour la vie privée des salariés.

Analyse d’impact

Le RGPD prévoit toutefois que certaines autorisations peuvent être maintenues par le droit national ou remplacées par l’obligation d’effectuer une analyse d’impact.

Le projet de loi français dispose notamment qu’une autorisation particulière pourra être requise pour des traitements portant sur le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (numéro de sécurité sociale).

Une analyse d’impact sur la protection des données s’imposera également lorsque le traitement RH sera « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques »(article 35.1 du RGPD).

Quoi qu’il en soit, le service des Ressources Humaines devra désormais concentrer son action sur la mise en place d’actions de mise en conformité aux nouvelles règles applicables.

Avec le système d’autorégulation mis en place par le RGPD, il sera tenu de respecter les principes généraux issus du nouveau cadre législatif relatif au traitement (à savoir les principes de licéité, loyauté, transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité) et être en mesure de démontrer à tout moment qu’il les respecte.

Assurer la conformité

Dans ce cadre, le service RH devra se doter d’outils permettant d’assurer la conformité de ses pratiques et documenter cette conformité.

Il est ainsi essentiel pour les acteurs « RH » d’identifier dès à présent, si cela n’a pas encore été fait, les impacts des nouvelles règles du RGPD à tous les stades du contrat de travail dans leur entreprise, que ce soit au stade du recrutement, de l’embauche, de l’exécution du contrat de travail de leurs salariés et même lors du départ de ces derniers.

A ce titre, ils devront par exemple :

• • s’interroger sur la conformité des contrats liant l’entreprise à des organismes externes (cabinet de recrutement) ainsi que sur les règles de conservation et de destruction des données à caractère personnel des candidats non retenus ;

• • identifier la nature et la finalité des données à caractère personnel collectées à l’embauche ;

• • formaliser l’information des salariés sur leurs droits (accès /rectification/destruction/..) lors de la collecte de données ;

• • mettre en place des garanties de sécurité et de confidentialité pour les données des salariés ;

• • contrôler les habilitations d’accès aux données personnelles ;

• • répondre aux demandes d’accès/ de rectification/ ou de destruction de données personnelles formulées par un salarié après son départ de l’entreprise.

Cartographie des données

L’identification (cartographie) des traitements de données « RH » à caractère personnel mis en œuvre par l’entreprise constitue la première étape de la mise en conformité.

Il s’agira en pratique d’inventorier et recenser les traitements des données des salariés et des candidats réalisés par l’entreprise. Cet inventaire permettra de recenser notamment les différents traitements, les catégories de données personnelles traitées, les objectifs poursuivis (finalités), les durées de conservation, les sous-traitants, les destinataires et acteurs des données, les éventuels flux et transferts de données hors UE, etc.

Il faudra ensuite s’assurer de la conformité de ces traitements au regard de la législation française et du RGPD, documenter cette conformité et la maintenir.

Grâce à la cartographie des traitements effectués, le registre des traitements « RH » de l’entreprise pourra être formalisé.

Ce travail de préparation et cette démarche de mise en conformité au RGPD s’imposent dès à présent.

Face au renforcement important du montant des sanctions pouvant être prononcées par la CNIL, de nombreux acteurs s’interrogent sur les orientations que suivra celle-ci dans sa politique de contrôle dans les premiers mois de mise en œuvre du RGPD.

La CNIL cherche à rassurer à ce sujet. Elle a récemment indiqué que si les principes fondamentaux de la protection des données, qui restent pour l’essentiel inchangées (loyauté du traitement, pertinence et sécurité des données, etc…), continueront à faire l’objet de vérifications rigoureuses de sa part, les contrôles opérées sur les nouvelles obligations ou les nouveaux droits résultant du RGPD (droit à la portabilité, analyse d’impact, ..) auront « essentiellement pour but dans un premier temps d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes ».

Selon elle, « en présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points » (communication CNIL du 19 février 2018).

Mais, pour échapper aux sanctions de la CNIL dès les premiers mois de mise en œuvre du RGPD, encore faudra-t-il pouvoir justifier s’être engagé dans une démarche de mise en conformité, d’où l’importance de pouvoir présenter en cas de contrôle des documents attestant du travail de préparation et de mise en conformité effectué (en présentant par exemple une cartographie des traitements RH effectués dans l’entreprise et un registre des traitements en cours d’élaboration).

Article publié dans La Tribune le 29/03/2018