Données personnelles des salariés : comment assurer leur conformité avec le RGPD ?

Réseaux

Données personnelles des salariés : comment assurer leur conformité avec le RGPD ?

Le Règlement européen sur la protection des données (RGPD) s’appliquera à tous les services RH dès le 25 mai 2018. Chaque traitement de données personnelles, qu’il soit papier ou numérique, devra être réétudié. Retour en détails sur la marche à suivre pour assurer la conformité du service RH, avec les conseils du cabinet d’avocats SVZ.

« Les entreprises, en particulier les PME, n’ont en général rien fait pour adapter leur service RH à l’entrée en vigueur du RGPD, explique Emilie Meridjen, avocate au sein du cabinet SVZ. Elles sont souvent démunies face à ce nouveau texte, ou ne connaissent tout simplement pas son existence. » L’avocate animait la semaine dernière une conférence ayant pour thème la mise en conformité « en urgence » des traitements de données RH avant l’entrée en vigueur du Règlement général sur la protection des données personnelles (RGPD), le 25 mai 2018.
Nul besoin de céder à la panique. « Je pense que la Cnil [Commission nationale informatique et libertés] sait très bien que tout le monde ne sera pas prêt le 25 mai. » D’autant plus que le règlement « semble principalement écrit pour des entreprises comme Facebook, avec leurs multiples questions de confidentialité des utilisateurs », renchérit son confrère Thibault Lancrenon, spécialiste en droit de la propriété intellectuelle du cabinet Triptyque avocats. Le RGPD s’applique en effet à un grand nombre de domaines, et ne prévoit presque aucune mesure spécifique au contexte du travail. Le soin est laissé aux Etats membres de régler eux-même la question. Pourtant, le projet de loi sur la protection des données, qui vient d’être adopté en deuxième lecture par les députés le 12 avril, n’envisage que peu d’adaptations pour le domaine du travail.

C’est donc au RGPD qu’il convient de se référer pour déterminer quelles actions peuvent être mises en oeuvre afin d’anticiper un contrôle de la Cnil.

1. Faire le tri dans les données collectées

Actuellement, les relations entre les entreprises et la Cnil sont rythmées par un ensemble de déclarations, demandes d’autorisation et dispenses particulières. Avec le RGPD, la logique change : le responsable de traitement – ici l’employeur – n’a plus à déclarer ses traitements de données personnelles à la Cnil, mais il doit pouvoir prouver à tout moment que les traitements qu’il organise sont justifiés. Le RGPD est donc une opportunité de s’interroger sur la pertinence des données collectées auprès des salariés.

Les données collectées doivent avoir des finalités précises et détaillées, que l’employeur doit justifier. Par exemple, la collecte des photos des salariés pour alimenter l’annuaire de l’entreprise. La finalité doit aussi être légitime, c’est à dire reposer sur l’une des six bases légales de traitement prévues par le RGPD. Parmi ces bases, on retrouve le consentement, qui est fortement déconseillé pour justifier un traitement RH. « Les directives du G29 précisent que dans le contexte du travail, le consentement ne peut en général pas être donné de façon libre par un salarié, sauf lorsque cela n’a aucun impact sur sa carrière. » Dès lors, les seules justifications fiables pour les traitements de données sont la base légale (si certaines informations sont demandées par le code du travail, le code de la sécurité sociale où une législation spécifique) et l’intérêt légitime de l’employeur, qu’il convient de justifier précisément.

2. Établir un registre des traitements de données personnelles

Les entreprises d’au moins 250 salariés doivent tenir à jour un registre des activités de traitement. « Si la Cnil vient faire un contrôle dans l’entreprise, explique Thibault Lancrenon, tenir un registre est le seul moyen de savoir quels traitements sont gérés et sur quelle base ». Pour chaque traitement de données, le responsable de traitement doit lister :

• les coordonnées du responsable de traitement (et du délégué à la protection des données le cas échéant) ;
• les finalités du traitement ;
• les catégories de personnes concernées et catégories de données à caractère personnel ;
• les catégories de destinataires des données personnelles ;
• les transferts de données à caractère personnel vers un pays tiers (le cas échéant) ;
• les délais prévus pour l’effacement des différentes catégories de données ;
• une description générale des mesures de sécurité techniques et organisationnelle.

3. Repérer les traitements RH à risques et analyser leur impact

Certains traitements orchestrés par l’entreprise peuvent présenter des « risques élevés pour les droits et libertés » au sens du RGPD. Si tel est le cas, le responsable de traitement doit réaliser une analyse d’impact qui décrit le traitement et ses finalités, évalue sa nécessité et sa proportionnalité, évalue les risques pour les droits et libertés des personnes et prévoit des mesures pour limiter ces risques.

La Cnil prévoit un logiciel libre, PIA pour mettre en place une analyse d’impact.
Quels traitements sont concernés ?

Le G29, organisation regroupant l’ensemble des « Cnil » européennes, donne neuf facteurs qui doivent mettre la puce à l’oreille des responsables de traitement : si un traitement satisfait à au moins deux critères, la nécessité de faire une analyse d’impact est démontrée (voirlignes directrices du G29 adoptées le 4 avril 2017, page 10).
Le cabinet SVZ donne plusieurs exemples de traitements RH possiblement à risques : surveillance des réseaux sociaux des salariés, analyse des pages de réseaux sociaux des candidats à un emploi, cybersurveillance des outils, gestion du temps de présence (badges, géolocalisation, tachygraphe…), vidéosurveillance, transferts de données hors Union européenne (par exemple si un prestataire de l’entreprise se trouve hors UE), etc.

Quand faut-il consulter la Cnil ?
Le responsable de traitement ou son sous-traitant doit consulter la Cnil avant la mise en oeuvre du traitement lorsque l’analyse d’impact indique que le traitement « présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque » selon le projet de loi relatif à la protection des données. Une telle consultation est aussi imposée lorsque le type de traitement – en particulier en raison de l’utilisation de nouveaux mécanismes, technologies ou procédures – présente des risques élevés pour les libertés et les droits des personnes concernées.

4. Informer les salariés

Le RGPD impose que les personnes dont les données personnelles sont collectées – ici les salariés – reçoivent une longue liste d’informations, recensées aux articles 13 et 14 du RGPD. Ces informations doivent être données au salarié au moment où il fournit des données personnelles, dans le cas où ces dernières sont collectées directement auprès de lui (lors de son embauche par exemple). Si les données sont collectées de façon indirecte, par le biais d’une autre source, les informations doivent être données au salarié au maximum un mois plus tard. Les informations n’ont pas à être données si la personne concernée en dispose déjà.

5. Garantir les droits des salariés sur leurs données

Droit d’accès et de rectification
Le salarié doit pouvoir obtenir confirmation que des données à caractère personnel le concernant sont ou ne sont pas traitées. Lorsqu’elles le sont, il doit pouvoir avoir accès à ces données ainsi qu’à certaines informations sur leur traitement, listées à l’article 15 du RGPD. « la communication gratuite des données (s’agissant d’une première communication) doit être réalisée dans un délai d’un mois, note Emilie Meridjen. Ce délai est plus court qu’auparavant, c’est pourquoi il faut revoir les processus internes de gestion des données. »
Le droit de rectification, lui, n’est pas nouveau, et ne pose pas de difficultés particulières en matière de ressources humaines.

Droit d’opposition
« La Cnil regarde de près si la procédure de droit d’opposition est respectée par les entreprises » selon Thibault Lancrenon. Une personne physique peut s’opposer à la collecte de ses données réalisée à des fins de prospection, ou au titre de l’intérêt légitime de l’entreprise. Cette dernière doit alors arrêter de traiter les données concernées, à moins qu’elle n’invoque des « motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêt et les droits et libertés de la personne concernée » ou si les données sont nécessaires à la défense des droits en justice.

Droit à l’oubli : limiter la durée de conservation des données
Le salarié peut en théorie demander à l’entreprise d’exercer son droit à l’oubli (article 17 du RGPD). Mais les conditions à remplir sont nombreuses : les données personnelles ne doivent plus être nécessaires à la finalité, l’intérêt légitime de l’entreprise sur lequel se fondait le traitement de données doit avoir disparu, etc. De manière générale, il convient tout de même de prévoir pour chaque traitement une durée précise de conservation des données, calquée sur le droit du travail ou les recommandations de la Cnil. « Les entreprises doivent s’assurer que les durées prévues sont respectées, par des mécanismes de purge automatique ou d’alerte. Dans ce cadre il peut être intéressant de réaliser des investissements logiciels », conseille Thibault Lancrenon.

Certaines durées très longues de conservation peuvent être justifiables, selon le cabinet SVZ, en particulier concernant le droit à la défense de l’employeur. Les pièces liées aux accidents du travail peuvent ainsi être conservées dix ans, et les données individuelles comme la lettre de licenciement doivent être conservées sans limite de durée en cas de contentieux.

6. S’assurer que ses prestataires respectent le RGPD

« Jusqu’ici, les contrats avec les sous-traitants ne comportaient qu’une clause sur la confidentialité qui ne représentaient pas grand chose. Désormais il faut vraiment s’intéresser à la façon dont les données des salariés sont protégées. La Cnil a annoncé qu’elle allait contrôler cela très vite, dès mai 2018. » L’entreprise est responsable juridiquement de la conformité de son traitement avec le RGPD. Le contrat avec le sous-traitant doit ainsi garantir une série d’engagements listée à l’article 28 du RGPD.

 

Source : EDITIONS LEGISLATIVES

Partagez