RGPD : Quelles nouvelles obligations ? Interview d'Alcya Conseil [1/2]

Le RGPD est le nouveau règlement européen sur la protection des données personnelles qui entrera en application le 25 mai 2018. Il renforce le droit des personnes en créant de nouveaux droits autour du partage, de la sécurisation des données et du consentement de manière générale.

Le RGPD introduit également pour les entreprises et organisations qui traitent des données personnelles de nouvelles obligations en matière de transparence et de contrôle et de sécurisation.
Béatrice Giry et Justine Gauvin, avocates au sein du cabinet ALCYA CONSEIL répondent à vos questions sur le traitement des données RH dans le cadre du nouveau RGPD. Qu'est-ce qu'une donnée RH ? Quelles obligations nouvelles apporte le RGPD ? Comment se mettre en conformité avec le RGPD ?

L’article 88 du RGPD dédié aux traitements des données personnelles dans le cadre des relations au travail donne une orientation à suivre. Certaines précisions ou modalités d’application sont encore attendues et devraient être apportées par chaque Etat membre pour sa propre législation nationale. À ce titre, en France, un projet de loi est en cours de présentation à l’Assemblée Nationale pour être voté.

Qui est concerné par le RGPD ?

Le RGPD s’applique à toute entité (entreprise, établissement public, association, etc) établie sur le territoire de l’Union Européenne. Si l’entité n’est pas établie dans l’Union Européenne, le RGPD aura tout de même vocation à s’appliquer lorsque les personnes concernées par les traitements (personnes dont émanent les données) sont basées sur le territoire de l’Union Européenne.  

Sur qui pèsent les obligations du RGPD ?

Les obligations du RGPD s’imposent essentiellement au « responsable de traitement ». Il s’agit de la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données.

Par exemple, chaque entreprise est « responsable de traitement » en ce qui concerne les données RH qu’elle traite et stocke pour les besoins de son activité.

Quels types de données entrent dans le cadre du RGPD ?

Toutes ! Dès lors qu'une entreprise traite des données se rapportant à une personne physique, qu’elle soit identifiée ou identifiable, ce traitement doit être en conformité avec le RGPD.

Quels types de traitement de données entrent dans le cadre du RGPD ?

La notion de « traitement » est très large. Par exemple, la collecte, l’enregistrement, la conservation ou encore l’extraction sont des opérations considérées comme un traitement de données.

Par conséquent, toutes les actions menées par les RH sont concernées par le RGPD : recrutement, administration du personnel, gestion de la paie, formation, gestion des temps de travail, gestion des plannings, etc.

Quels sont les objectifs du RGPD ?

Le RGPD repose sur une logique de responsabilisation et de transparence. Il oblige à ne recueillir que les données nécessaires à l'objectif du traitement.

Autrement dit, vous ne pouvez collecter que les données utiles au traitement RH du collaborateur : nom, coordonnées, qualifications, diplômes, adresse, coordonnées bancaires, situation familiale, etc. Pour les données plus sensibles, comme un handicap ou des mensurations, vous devrez être mesure de justifier leur finalité et leur utilisation.

Quel est l'impact du RGPD sur les services RH ?

Les traitements de données RH sont soumis aux contraintes du RGPD en termes de recueil de la donnée, de stockage, de sécurisation et de transparence.

En effet, en tant que responsable de traitement, chaque entreprise, doit désormais être en mesure de démontrer à tout moment que la protection des données personnelles au sein de son système d’information est optimale et conforme aux exigences légales : c’est le système de l'« accountability ».

Il convient de tenir des registres qui font référence aux traitements de données personnelles effectifs dans l’entreprise : traitement des données RH, traitement des données clients, …

Dans la continuité du principe de responsabilisation des entreprises, il est prévu que le responsable de traitement doit aussi le cas échéant, mettre en œuvre des analyses d’impact de traitement (« DPIA »).

Registre de traitement et analyse d’impact, de quoi parle-t-on ?

Le RGPD prévoit la tenue d’un registre des traitements de données personnelles pour les entreprises de plus de 250 salariés (Article 30). Ce registre doit contenir des informations supplémentaires à celles figurant dans le registre actuellement tenu par le DPO.

Ainsi, notamment les PME, sont donc exemptées de cette obligation, sauf si les traitements sont susceptibles de comporter un risque pour les droits et libertés des personnes concernées, si le traitement n’est pas occasionnel ou s’il porte sur des données sensibles. Au regard de ces exceptions, très larges, il est recommandé à toutes les entreprises quel que soit leur taille et leur nombre de salariés de tenir des registres à jour (un modèle est joint sur le site de la CNIL).

Par ailleurs, il convient désormais pour toutes données ou traitements susceptibles d’être concernés du fait de son caractère sensible, de mettre en place des analyses d’impact des traitements mis en œuvre sur la vie privée. Il s’agit alors de :

• Décrire le traitement (moyens, finalités…),
• Évaluer les risques pour les droits et libertés des personnes concernées,
• Indiquer les mesures envisagées pour faire face aux risques en vue de garantie une sécurité maximale.

Cette analyse doit être effectuée avant la mise en place de traitement du type « contrôle des heures et déplacements du salarié » par exemple.

Le RGPD impose la nomination d'un DPO : quel est son rôle ?

Le délégué à la protection des données (« Data Protection Officer ») est le nouvel acteur majeur mis en place par le RGPD.

Contrairement à son « ancêtre » le CIL (« Correspondant Informatique et Liberté »), sa désignation est obligatoire dans 3 cas :

• Le traitement des données est effectué par une autorité publique,
• Les activités de base du responsable de traitement consistent en des opérations de traitement qui du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et à grande échelle des personnes concernées,
• Enfin les activités de base du responsable de traitement consistent en un traitement à grande échelle de catégories particulières (données condamnation pénale…).

Quand bien même, les entreprises n’entrent pas dans ces champs d’application, il est recommandé de désigner un DPO pour faire preuve d’une plus grande rigueur en matière de protection de données. La désignation d’un DPO ne peut être que bénéfique pour l’entreprise.

Le DPO peut être désigné en interne au sein de l’entreprise ou en externe. Lorsque le DPO est désigné en interne, ce dernier doit avoir des compétences en la matière et surtout ne pas être susceptible d’engendrer un risque de conflit d’intérêts : par exemple, le DPO ne doit pas être membre de la direction, gérant, dirigeant…

Le DPO a pour mission d’informer, conseiller l’entreprise, contrôler le respect du RGPD, coopérer avec la CNIL… Il peut être missionné pour tenir les registres de traitement ou réaliser les analyses d’impact le cas échéant. Par exemple, les entreprises pourront mettre en place un plan de formation des employés à la thématique « Protection des données », en collaborant avec le délégué à la protection des données (DPO).

À lire également :

RGPD : Quel impact sur les données personnelles recueillies et traitées par les services RH ? Interview du cabinet Alcyaconseil [2/2]