Le Règlement Général sur la Protection des Données (RGPD) vise à renforcer les droits des personnes physiques dont les données personnelles (identité, mail, téléphone…) sont exploitées.
Ce Règlement Européen n° 2016/679 du 27 avril 2016 déclare que : « la protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental ».
L’objectif annoncé est donc de garantir le respect de la vie privée des citoyens au travers d’un meilleur contrôle de leurs données personnelles.
A partir du 25 mai 2018, la RGPD s’appliquera dans tous les Etats Membres de l’Union Européenne, sans qu’il y ait besoin de transposition nationale, alors qu’au même moment, un projet de loi sur la protection des données personnelles est en cours de discussion au Parlement.
Comment doit être mise en place cette protection des données au sein de l’entreprise mais également du CE/CSE ?
Dans un contexte de plus en plus numérique, le RGPD inquiète les DRH : base de CV, procédure de recrutement, gestion administrative, systèmes des accès et de contrôle sont bien sûr concernés.
Les Directions doivent repenser leur procédure de protection des données personnelles pour respecter de nouvelles règles : recueil de données strictement nécessaires, consentement pour chaque traitement de données personnelles, droit à l’information, etc. sous peine de s’exposer à de lourdes sanctions pécuniaires : amende jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Toute entreprise devra mettre en œuvre « les mesures techniques et organisationnelles » appropriées afin de garantir « la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».
Cette réglementation vient redonner aux salariés le contrôle de leurs données personnelles.
Pour certaines entreprises, la mise en conformité avec le RGPD marquera un coup d’arrêt aux pratiques artisanales mal maîtrisées des procédures de recrutement et de conservation des données.
A rappeler que la collecte des données par l’employeur est constante et régulière. Avant même de recruter un salarié, l’entreprise demande un certain nombre d’informations personnelles au candidat mais également tout au long de sa carrière (arrêts maladies, échanges de courrier). Les données collectées sont variées car la finalité des traitements opérés par l’employeur est très étendue pour couvrir ses obligations contractuelles et légales, notamment au niveau fiscal et social. Les données isolées, comme le lieu de naissance ou la situation matrimoniale, doivent être traitées comme des données personnelles ; si elles sont recoupées avec d’autres informations disponibles, elles permettent d’identifier le salarié.
Toutefois, si l’employeur est amené à collecter un nombre important de données personnelles, il doit pour autant, ne demander que celles nécessaires à l’objectif poursuivi. Collecter des informations sur l’entourage familial d’un candidat n’est pas nécessaire pour évaluer les compétences professionnelles.
Le RGPD prévoit l’obligation de tenir un registre des traitements de données, dont certaines mentions sont obligatoires. L’établissement de ce registre requiert des services RH le recensement de l’ensemble des données personnelles collectées puis la cartographie des traitements opérés sur ces données.
Si cette obligation ne s’applique qu’aux entreprises de plus de 250 salariés, elle apparaît toutefois opportune dans les plus petites entreprises pour optimiser les traitements des données, garantir leur sécurité et faire office de preuve le cas échéant.
Le RGPD prévoit également la désignation d’un Délégué à la protection des données (DPO) qui a pour mission de déterminer et mettre en place les mesures « techniques et organisationnelles » nécessaires pour assurer la confidentialité des données personnelles des employés afin d’éviter toute divulgation.
Cette personne, pas nécessairement salarié de l’entreprise, aura notamment pour mission d’informer, de conseiller, de contrôler la conformité des traitements.
Outre les considérations techniques intégrant la sécurité physique des lieux ou des serveurs informatiques qui devraient être gérées par les DSI, se pose également la question de savoir qui a accès aux données, quand, pourquoi et comment.
Dans certaines entreprises, on distingue la personne en charge du recrutement de celle qui fait les paies (et qui peut être un sous-traitant) et de celle qui traite des données de santé. Dès lors, ces personnes ne doivent pas avoir accès aux mêmes données personnelles et l’employeur doit définir clairement les personnes et les données auxquelles elles ont légitimement accès, et cloisonner informatiquement ces accès.
A ce titre, une sensibilisation des acteurs, une documentation interne voire un référentiel sur les méthodes de traitement, y compris à destination des sous-traitants semble judicieuse pour se conformer aux exigences du RGPD.
Les salariés doivent être informés du traitement de leurs données personnelles de façon claire et précise, ainsi que du rappel de leurs droits (via le règlement intérieur, le contrat de travail, la charte informatique).
La collecte de certaines données, qui ne relève pas du respect d’une obligatoire légale (photographie du salarié, par exemple) imposera l’obtention du consentement préalable de l’employé concerné.
- Le droit d’accès aux informations stockées le concernant
- Le droit de rectification des données pour celles inexactes ou erronées.
- Le droit à l’oubli visant à demander la suppression de leurs données personnelles. En principe, ces dernières ne peuvent être conservées que pour la durée nécessaire : à l’exécution de leur contrat de travail, au respect d’obligations légales (fiscales par exemple) et à l’accomplissement de l’objectif qui était poursuivi lors de leur collecte.
- Le droit à la portabilité visant à obtenir les données fournies dans un format structuré et à le transmettre à un autre responsable de traitement.
- Le droit d’opposition au traitement des données. Toutes les demandes devront être suivies d’une réponse dans le mois, ce qui implique la mise en place de mesures techniques adaptées pour respecter ce délai.
Les CE et les syndicats sont, tout autant que les DRH, obligés par cette mise en conformité dès lors qu’ils possédent un fichier avec des informations personnelles de salariés (adresse, téléphone, situation familiale).
Tout simplement parce que dans le cadre des activités proposées par le CE, les élus obtiennent puis conservent des données à caractère personnel, automatisées ou non.
Même s’il n’est pas directement visé par le Règlement, il convient d’établir un Registre des traitements de données.
Ce registre sera tenu par un Responsable du traitement. Celui-ci endosse la fonction mais également la responsabilité car la CNIL, autorité de contrôle, vérifiera la bonne application de ce Règlement. En outre, il peut être décidé de nommer plusieurs personnes comme Responsable.
Le CE pourra également décider de désigner un Délégué à la protection des données, qui pourra apporter des conseils au Responsable du traitement. Ce n’est pas obligatoire pour le CE mais fortement conseillé dans les entreprises gérant beaucoup de données personnelles (notamment quand le CE est amené à gérer un fichier important de salariés).
Enfin, il est envisageable pour le CE de déléguer la mise en place et la tenue à jour de ce registre à un sous-traitant qui pourra traiter ces données pour le compte du responsable.
Le CE doit obtenir le consentement écrit du salarié.
Différents moyens sont envisageables : un document écrit et signé par le salarié, voire une case à cocher lors de la consultation du site internet. Dans tous les cas, le moyen utilisé doit clairement indiquer à la personne concernée qu’elle accepte le traitement de ses données.
Le salarié dispose des mêmes droits (opposition, de retrait…) que devant la direction.
Pour le consentement du salarié, si le CE opte pour une « case à cocher », il convient de se renseigner auprès de professionnels pour modifier le logiciel de gestion. L’aide d’un délégué à la protection des données pourrait être utile pour la mise en place de ce registre. Si l’option « papier » est préférée, un document-type peut suffire, mais devra être remis à tous les salariés et conservé.
Le Règlement impose aux collecteurs de données de prévoir que le retrait du consentement soit aussi simple que l’action de donner son consentement. Il faudra donc également prévoir un document-type de renoncement, de droit d’opposition…
NB : le fait que le salarié ait donné son consentement à la direction n’éxonère pas le CE de le faire.
Tout comme exposé ci-dessus, le non-respect du Règlement européen (absence de registre, registre non à jour ou non-respect de la volonté des salariés) pourra entraîner la condamnation du CE aux mêmes sanctions que pour une entreprise.
NB : actuellement, aucune heure de délégation supplémentaire n’est prévue pour le Responsable des données, ni de formation spécifique au traitement des données. Il est à craindre que ce nouveau dispositif entraîne encore un peu plus de responsabilité et de charge de travail pour les élus, surtout le Responsable désigné. Sans accompagnement par un délégué à la protection des données et/ou un sous-traitant, ce travail risque fort de prendre du temps, surtout dans les mois à venir, alors que pour bon nombre d’entre vous, le passage en CSE est en cours.
Pour autant, qui paiera un sous-traitant ou un délégué : l’employeur ou le budget de fonctionnement ? Sauf à obtenir que l’employeur prenne en charge le coût, le budget de fonctionnement sera sollicité.
Le CE pourra-t-il demander à avoir accès à ce registre, tout comme le registre unique du personnel ou cela sera-t-il confidentiel ?
Le Règlement impose une confidentialité de ces données. A notre sens, y avoir accès contreviendrait à cette obligation.
En revanche, les élus pourront naturellement intervenir si le registre n’est pas tenu à jour et si les souhaits des salariés ne sont pas respectés, notamment le fait, pour un employeur, de conserver le numéro de téléphone portable des salariés qui refusent sa conservation.
Emilie BOHL, Juriste référente Grand Est
Karen VENET, Juriste référente Aquitaine - Midi-Pyrénées
Le Règlement Général sur la Protection des Données (RGPD) vise à renforcer les droits des personnes physiques dont les données personnelles (identité, mail, téléphone…) sont exploitées.
Ce Règlement Européen n° 2016/679 du 27 avril 2016 déclare que : « la protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental ».
L’objectif annoncé est donc de garantir le respect de la vie privée des citoyens au travers d’un meilleur contrôle de leurs données personnelles.
A partir du 25 mai 2018, la RGPD s’appliquera dans tous les Etats Membres de l’Union Européenne, sans qu’il y ait besoin de transposition nationale, alors qu’au même moment, un projet de loi sur la protection des données personnelles est en cours de discussion au Parlement.
Comment doit être mise en place cette protection des données au sein de l’entreprise mais également du CE/CSE ?
Dans un contexte de plus en plus numérique, le RGPD inquiète les DRH : base de CV, procédure de recrutement, gestion administrative, systèmes des accès et de contrôle sont bien sûr concernés.
Les Directions doivent repenser leur procédure de protection des données personnelles pour respecter de nouvelles règles : recueil de données strictement nécessaires, consentement pour chaque traitement de données personnelles, droit à l’information, etc. sous peine de s’exposer à de lourdes sanctions pécuniaires : amende jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Toute entreprise devra mettre en œuvre « les mesures techniques et organisationnelles » appropriées afin de garantir « la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».
Cette réglementation vient redonner aux salariés le contrôle de leurs données personnelles.
Pour certaines entreprises, la mise en conformité avec le RGPD marquera un coup d’arrêt aux pratiques artisanales mal maîtrisées des procédures de recrutement et de conservation des données.
A rappeler que la collecte des données par l’employeur est constante et régulière. Avant même de recruter un salarié, l’entreprise demande un certain nombre d’informations personnelles au candidat mais également tout au long de sa carrière (arrêts maladies, échanges de courrier). Les données collectées sont variées car la finalité des traitements opérés par l’employeur est très étendue pour couvrir ses obligations contractuelles et légales, notamment au niveau fiscal et social. Les données isolées, comme le lieu de naissance ou la situation matrimoniale, doivent être traitées comme des données personnelles ; si elles sont recoupées avec d’autres informations disponibles, elles permettent d’identifier le salarié.
Toutefois, si l’employeur est amené à collecter un nombre important de données personnelles, il doit pour autant, ne demander que celles nécessaires à l’objectif poursuivi. Collecter des informations sur l’entourage familial d’un candidat n’est pas nécessaire pour évaluer les compétences professionnelles.
Le RGPD prévoit l’obligation de tenir un registre des traitements de données, dont certaines mentions sont obligatoires. L’établissement de ce registre requiert des services RH le recensement de l’ensemble des données personnelles collectées puis la cartographie des traitements opérés sur ces données.
Si cette obligation ne s’applique qu’aux entreprises de plus de 250 salariés, elle apparaît toutefois opportune dans les plus petites entreprises pour optimiser les traitements des données, garantir leur sécurité et faire office de preuve le cas échéant.
Le RGPD prévoit également la désignation d’un Délégué à la protection des données (DPO) qui a pour mission de déterminer et mettre en place les mesures « techniques et organisationnelles » nécessaires pour assurer la confidentialité des données personnelles des employés afin d’éviter toute divulgation.
Cette personne, pas nécessairement salarié de l’entreprise, aura notamment pour mission d’informer, de conseiller, de contrôler la conformité des traitements.
Outre les considérations techniques intégrant la sécurité physique des lieux ou des serveurs informatiques qui devraient être gérées par les DSI, se pose également la question de savoir qui a accès aux données, quand, pourquoi et comment.
Dans certaines entreprises, on distingue la personne en charge du recrutement de celle qui fait les paies (et qui peut être un sous-traitant) et de celle qui traite des données de santé. Dès lors, ces personnes ne doivent pas avoir accès aux mêmes données personnelles et l’employeur doit définir clairement les personnes et les données auxquelles elles ont légitimement accès, et cloisonner informatiquement ces accès.
A ce titre, une sensibilisation des acteurs, une documentation interne voire un référentiel sur les méthodes de traitement, y compris à destination des sous-traitants semble judicieuse pour se conformer aux exigences du RGPD.
Les salariés doivent être informés du traitement de leurs données personnelles de façon claire et précise, ainsi que du rappel de leurs droits (via le règlement intérieur, le contrat de travail, la charte informatique).
La collecte de certaines données, qui ne relève pas du respect d’une obligatoire légale (photographie du salarié, par exemple) imposera l’obtention du consentement préalable de l’employé concerné.
- Le droit d’accès aux informations stockées le concernant
- Le droit de rectification des données pour celles inexactes ou erronées.
- Le droit à l’oubli visant à demander la suppression de leurs données personnelles. En principe, ces dernières ne peuvent être conservées que pour la durée nécessaire : à l’exécution de leur contrat de travail, au respect d’obligations légales (fiscales par exemple) et à l’accomplissement de l’objectif qui était poursuivi lors de leur collecte.
- Le droit à la portabilité visant à obtenir les données fournies dans un format structuré et à le transmettre à un autre responsable de traitement.
- Le droit d’opposition au traitement des données. Toutes les demandes devront être suivies d’une réponse dans le mois, ce qui implique la mise en place de mesures techniques adaptées pour respecter ce délai.
Les CE et les syndicats sont, tout autant que les DRH, obligés par cette mise en conformité dès lors qu’ils possédent un fichier avec des informations personnelles de salariés (adresse, téléphone, situation familiale).
Tout simplement parce que dans le cadre des activités proposées par le CE, les élus obtiennent puis conservent des données à caractère personnel, automatisées ou non.
Même s’il n’est pas directement visé par le Règlement, il convient d’établir un Registre des traitements de données.
Ce registre sera tenu par un Responsable du traitement. Celui-ci endosse la fonction mais également la responsabilité car la CNIL, autorité de contrôle, vérifiera la bonne application de ce Règlement. En outre, il peut être décidé de nommer plusieurs personnes comme Responsable.
Le CE pourra également décider de désigner un Délégué à la protection des données, qui pourra apporter des conseils au Responsable du traitement. Ce n’est pas obligatoire pour le CE mais fortement conseillé dans les entreprises gérant beaucoup de données personnelles (notamment quand le CE est amené à gérer un fichier important de salariés).
Enfin, il est envisageable pour le CE de déléguer la mise en place et la tenue à jour de ce registre à un sous-traitant qui pourra traiter ces données pour le compte du responsable.
Le CE doit obtenir le consentement écrit du salarié.
Différents moyens sont envisageables : un document écrit et signé par le salarié, voire une case à cocher lors de la consultation du site internet. Dans tous les cas, le moyen utilisé doit clairement indiquer à la personne concernée qu’elle accepte le traitement de ses données.
Le salarié dispose des mêmes droits (opposition, de retrait…) que devant la direction.
Pour le consentement du salarié, si le CE opte pour une « case à cocher », il convient de se renseigner auprès de professionnels pour modifier le logiciel de gestion. L’aide d’un délégué à la protection des données pourrait être utile pour la mise en place de ce registre. Si l’option « papier » est préférée, un document-type peut suffire, mais devra être remis à tous les salariés et conservé.
Le Règlement impose aux collecteurs de données de prévoir que le retrait du consentement soit aussi simple que l’action de donner son consentement. Il faudra donc également prévoir un document-type de renoncement, de droit d’opposition…
NB : le fait que le salarié ait donné son consentement à la direction n’éxonère pas le CE de le faire.
Tout comme exposé ci-dessus, le non-respect du Règlement européen (absence de registre, registre non à jour ou non-respect de la volonté des salariés) pourra entraîner la condamnation du CE aux mêmes sanctions que pour une entreprise.
NB : actuellement, aucune heure de délégation supplémentaire n’est prévue pour le Responsable des données, ni de formation spécifique au traitement des données. Il est à craindre que ce nouveau dispositif entraîne encore un peu plus de responsabilité et de charge de travail pour les élus, surtout le Responsable désigné. Sans accompagnement par un délégué à la protection des données et/ou un sous-traitant, ce travail risque fort de prendre du temps, surtout dans les mois à venir, alors que pour bon nombre d’entre vous, le passage en CSE est en cours.
Pour autant, qui paiera un sous-traitant ou un délégué : l’employeur ou le budget de fonctionnement ? Sauf à obtenir que l’employeur prenne en charge le coût, le budget de fonctionnement sera sollicité.
Le CE pourra-t-il demander à avoir accès à ce registre, tout comme le registre unique du personnel ou cela sera-t-il confidentiel ?
Le Règlement impose une confidentialité de ces données. A notre sens, y avoir accès contreviendrait à cette obligation.
En revanche, les élus pourront naturellement intervenir si le registre n’est pas tenu à jour et si les souhaits des salariés ne sont pas respectés, notamment le fait, pour un employeur, de conserver le numéro de téléphone portable des salariés qui refusent sa conservation.
Emilie BOHL, Juriste référente Grand Est
Karen VENET, Juriste référente Aquitaine - Midi-Pyrénées
L’actualité du droit du travail et de ses évolutions… du bout des doigts.
En savoir plus
