Le Règlement européen sur la protection des données (RGPD) en vigueur depuis le 25 mai 2018 précise la marche à suivre pour bien gérer tout traitement de données personnelles, sur papier ou numérique. Focus sur ce doit faire votre service RH pour être en règle.
6 actions pour anticiper un contrôle de la CNIL
Toute PME doit se mettre en conformité avec les règles du RGPD, même si la loi sur la protection des données du 12 avril envisage peu d’adaptations pour le monde du travail, vous devez vous référer au RGPD pour identifier les mesures à prendre afin de prévenir un éventuel contrôle de la CNIL. Nous vous recommandons les 6 mesures suivantes pour vous mettre en conformité :
1 – Trier vos données collectées
Alors que jusqu’à présent vous faisiez des déclarations, vous demandiez des autorisations ou une dispense particulière, aujourd’hui avec le RGPD, tout change pour vous en tant qu’employeur. Vous n’avez plus à déclarer le traitement de données personnelles à la CNIL, en revanche vous devez pouvoir apporter la preuve à tout moment que le traitement de données de vos salariés est justifié. La question de la pertinence des données collectées sur les salariés mérite d’être posée, en effet 9 fois sur 10 les données recueillies par les RH sont plus étendues que celles vraiment nécessaires. Mieux vaut donc limiter la quantité des données recensées, et se consacrer à celles dont vous pouvez valablement justifier la finalité, celle-ci devant être légitime, en se référant aux six bases légales de traitement prévues par le RGPD.
2 – Ouvrir un registre des traitements de données personnelles
Toute entreprise employant au moins 250 personnes doit posséder à jour un registre des activités de traitement, ce qui facilitera l’éventuel contrôle de la CNIL. Ainsi chaque traitement géré, doivent figurer sur le registre :
- les coordonnées du responsable de traitement, et du délégué à la protection des données,
- les finalités du traitement,
- les catégories de personnes concernées et données à caractère personnel,
- les personnes auxquelles les données personnelles sont destinées,
- les transferts de données à caractère personnel vers un pays tiers (le cas échéant),
- les délais prévus pour les effacer,
- la description des mesures de sécurité techniques et organisationnelles.
3 – Repérer les traitements RH à risques et analyser leur impact
Pour éviter que des traitements génèrent un risque élevé pour les droits et libertés au sens du RGPD, le responsable de traitement doit procéder à une analyse de ces conséquences : décrire le traitement et ses finalités, évaluer sa nécessité et sa proportionnalité, mesurer les risques sur les droits et libertés des personnes, envisager des mesures pour limiter ces risques.
Les traitements à risques qui doivent être prévenus
Le G29, qui regroupe toutes les “CNIL” européennes définit les 9 signes qui doivent alerter le responsable de traitement, dont seulement deux suffisent à démonter la nécessité d’une analyse d’impact. Parmi ces traitements RH a priori à risques, citons la surveillance des réseaux sociaux d’un salarié, l’analyse des pages de réseaux sociaux d’un candidat à un recrutement, la cyber-surveillance des outils, la gestion du temps de présence (badges, géo-localisation, tachygraphe…), la vidéosurveillance…
Le moment où vous devez consulter la CNIL
Vous avez l’obligation de consulter la CNIL avant de mettre en oeuvre tout traitement si cette analyse d’impact a détecté « un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ». Vous avez aussi à vous adresser à la CNIL si l’opération concernée utilise de nouveaux mécanismes, technologies ou procédures, qui imposent des risques élevés pour les libertés et les droits des personnes concernées.
4 – Assurer une information des salariés
Selon le RGPD vous devez informer tout salarié dont les données personnelles sont collectées en lui fournissant différents informations indiquées aux articles 13 et 14 du RGPD), si ledit salarié fournit des données personnelles directement lui-même (à l’occasion de son engagement dans l’entreprise par exemple). Lorsque les données sont collectées de manière indirecte, par une autre source, elles doivent aussi être adressées au salarié dans un délai de un mois, sauf celui-ci en dispose déjà. Le RGPD vous oblige aussi à actualiser les mentions “Informatique et libertés” et les documents d’information destinés aux salariés, sans spécifier comment le faire, la mention dans le contrat de travail restant insuffisante.
5 – Garantir les droits des salariés sur leurs données
Droit d’accès et de rectification
Tout salarié peut obtenir confirmation du traitement ou non de ses données à caractère personnel. Si ces informations personnelles sont traitées, il peut avoir accès à celles-ci et sur la nature de leur traitement (article 15 du RGPD), de manière gratuite et dans un délai d’un mois. Il peut exercer son droit de rectification, comme changer son adresse s’il déménage, à charge pour L’entreprise de le spécifier aux organismes auxquels elle a adressé les données, d’où l’intérêt de leur traçabilité.
Droit d’opposition
La CNIL veille au respect de la procédure de droit d’opposition par votre entreprise. Toute personne a le droit de s’opposer à la collecte de ses données pour alimenter une prospection par exemple, ou au titre de l’intérêt légitime de l’entreprise. Dans ce cas, vous avez l’obligation d’arrêter le traitement des données concernées, sauf si vous pouvez invoquer des « motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée » ou si ces données s’imposent en faveur de la défense de droits en justice.
Droit à l’oubli : limiter la durée de conservation des données
Tout salarié peut a priori vous demander d’exercer son droit à l’oubli, si les données personnelles ne s’avèrent plus nécessaires à leur finalité, si l’intérêt légitime de l’entreprise sur lequel vous aviez basé le traitement de données n’existe plus…
Mieux vaut donc prévoir pour chaque traitement un délai précis de conservation des données, en vous inspirant du droit du travail ou des recommandations de la CNIL. Vous pouvez garder certaines données plus longtemps, comme celles qui concerne votre droit à la défense d’employeur, celles liées à un accident du travail (jusqu’à dix ans), et celles contenues dans une lettre de licenciement (sans limite de durée si contentieux).
6 – Veiller à ce que vos prestataires respectent le RGPD
Vous devez vous intéresser à la manière utilisée par un prestataire pour protéger les données de vos salariés, car la CNIL vous demandera des comptes sur ces aspects, la responsabilité juridique de la conformité avec RGDP des mesures prises par un prestataire revenant à votre entreprise.