L’impact du Règlement Général sur la Protection des Données sur le traitement des données de vos salariés

L’entrée en vigueur du Règlement Général sur la Protection des Données (ci-après RGPD) le 25 mai prochain va avoir un impact significatif pour toutes les structures qui collectent, manipulent et/ou conservent des données à caractère personnel portant sur des résidents européens et ce, quelle que soit leur taille et leur niveau de développement (grands groupes, PME, start-up…).

Si la loi Informatique et Libertés applicable en France constitue déjà un cadre extrêmement protecteur des données personnelles (droit d’accès aux données, droit de rectification…), le RGPD vient renforcer les droits des salariés. L’expression du consentement est désormais précisément encadrée, les salariés devant être informés de manière claire, intelligible et facilement accessible de l’usage de leurs données et disposer systématiquement de la possibilité d’y consentir de manière non ambiguë ou de pouvoir s’y opposer. Ces exigences étendues vont transformer l’organisation et la gestion des procédures liées aux données salariés ainsi qu’aux droits de ces derniers.

Ainsi, le RGPD accorde un certain nombre de nouveaux droits aux salariés et met de nouvelles obligations à la charge des employeurs, dont la majeure partie est étendue à leur(s) sous-traitant(s), et notamment :

  • la portabilité des données : tout salarié ayant transmis des données sera autorisé à les récupérer sous une forme facilement réutilisable et à les transférer ensuite à un tiers ;
  • le renforcement de la confidentialité et de la sécurité des données : l’employeur, comme ses sous-traitants, se voient imposer une obligation de sécurité renforcée et de notification des violations de données personnelles à l’autorité de protection des données dans un délai de 72 heures ;
  • l’interdiction de la transmission par l’employeur des données personnelles des salariés citoyens européens, hors Union Européenne, vers les pays où la protection des donnés est jugée insuffisante par la Commission européenne, cf. USA ;
  • les analyses d’impact : les entreprises désireuses de mettre en œuvre un traitement des données personnelles devront effectuer une analyse d’impact en amont pour s’assurer de sa faisabilité au regard des obligations du RGPD et ce notamment pour les traitements à risques ;
  • la limitation de la collecte et de la conservation des données aux seules informations pertinentes (smart data) ;
  • la tenue systématique en interne d’un registre de traitement des données : le RGPD ayant pour objectif de simplifier les démarches préalables et de responsabiliser les entreprises, il supprime à quelques exceptions près les formalités préalables (déclarations et demandes d’autorisation) auprès des autorités de contrôle. En remplacement, les entreprises doivent tenir en interne un registre des traitements des données consultable à tout moment par les autorités de contrôle ;
  • la nomination d’un délégué à la protection des données qui sera chargé d’informer ou de conseiller le responsable de traitement ou son sous-traitant : pour les structures qui traitent des données sensibles ou en masse il s’agit d’une obligation ; pour les autres, d’une recommandation ;
  • la reconnaissance du droit à réparation : tout salarié ayant subi un dommage matériel ou moral du fait d’une violation des dispositions du RGPD par le responsable du traitement des données ou l’un de ses sous-traitants, se verra reconnaître un droit à réparation.

En cas de méconnaissance des dispositions du nouveau règlement par l’employeur ou son sous-traitant chargé du traitement des données, le RGPD prévoit des sanctions administratives extrêmement lourdes, pouvant aller pour une entreprise jusqu’à une amende d’un montant égal à 4% du chiffre d’affaires annuel ou au paiement de la somme de 20 millions d’euros, le montant le plus élevé étant retenu.

Les bons réflexes à avoir en tant qu’employeur pour se préparer à l’entrée en vigueur du RGPD:

  • effectuer un inventaire des traitements de données personnelles mis en œuvre au sein de la structure ;
  • évaluer les pratiques et les procédures mises en place ;
  • identifier les risques liés aux opérations de traitement mises en œuvre et planifier les mesures nécessaires à leur prévention,
  • penser à toujours maintenir et actualiser une documentation assurant la traçabilité des mesures prises étant donné qu’en cas de contrôle par l’autorité compétente ou de contestation par le salarié, c’est désormais au responsable du traitement, donc à l’employeur et le cas échéant à son sous-traitant, qu’incombe la charge de la preuve.

La mise en conformité avec les dispositions du RGPD, bien qu’extrêmement contraignante de prime abord, constitue un enjeu stratégique. A terme, elle contribuera à renforcer la confiance des salariés – et des partenaires et clients – de la structure concernée. Elle sera aussi l’occasion de renforcer la sécurité des données internes à ladite structure. Enfin, cette mise en conformité pourra être récompensée par l’octroi d’un ou plusieurs des labels CNIL ou d’une certification bénéfique à son image de marque et constitutif d’un avantage concurrentiel.