Aller au contenu principal
RGPD

12 avril 2018

RGPD : Professionnels RH, êtes-vous prêts ?

Le 25 mai 2018, le Règlement général de la protection des données (RGPD), de portée européenne, entrera en application. Cette nouvelle réglementation, prenant en compte les nouvelles réalités du numérique et l'environnement technologique en permanente mutation, remplacera les règles existantes depuis plus de 20 ans. Le Directeur des affaires juridiques d’Allizé-Plasturgie, Thierry Charles, a demandé à Maitres Souade BOUCHENE, Avocat associée, spécialisée en droit social (Cabinet Fromont-Briens) de nous résumer les principales obligations imposées par le RGPD afin de se mettre aux normes.

À l’ère d’une culture d’entreprise toujours plus connectée, la frontière entre vie professionnelle et vie privée apparaît poreuse. Si les avantages de la digitalisation de l’entreprise sont nombreux en termes de flexibilité et d’efficacité, les inquiétudes des employés quant à une exposition croissante de leurs données personnelles apparaissent légitimes. Dans ce contexte, la nouvelle règlementation aura pour effet de rétablir un équilibre dans un objectif constant de protection des individus.

Le RGPD renforce nettement les obligations à la charge des responsables de traitement et augmente le plafond des amendes pouvant être infligées par la CNIL en cas de violation de ses dispositions.

Et toute l’entreprise est concernée par la mise en conformité avec le RGPD. L’ensemble des services de l'entreprise sont amenés à traiter des données personnelles : service achat pour les contacts de fournisseurs, service marketing et commercial pour des données sur les contacts prospects et clients, services RH…

Toutefois, il faut reconnaitre que les ressources humaines constituent le pilier d’une entreprise : proches du personnel comme de l’équipe dirigeante, elles ont accès à des informations sensibles et bénéficient d’un pouvoir décisionnel certain. Ainsi, le service RH est systématiquement concerné. En effet, depuis le recrutement d'un salarié jusqu'à son départ de l'entreprise, le service RH traite des données personnelles : paie mensuelle, gestion administrative, entretien d'évaluation du collaborateur, parcours de formation, etc.

A quelques semaines de l’entrée en vigueur du RGDP, comment s’y préparer concrètement ? Pour vous aider à vous mettre en conformité avec le RGPD, voici quelques recommandations pour initier les actions attendues par la nouvelle réglementation et la CNIL :

Cartographier, créer et tenir un registre des traitements RH

Tout l’enjeu pour l’entreprise est de cartographier l’ensemble des traitements relatifs aux ressources humaines et pour chaque finalité et sous-finalité identifiées, renseigner les mentions obligatoires détaillées à l’article 30 du RGPD :

  • le nom et les coordonnées des responsables de traitements, co-responsables de traitements, sous-traitants et destinataires intervenant dans le traitement,
  • les finalités du traitement,
  • les catégories de personnes concernées et les catégories de données à caractère personnel,
  • le cas échéant, les transferts de données à caractère personnel hors UE et les données communiquées,
  • une description générale des mesures de sécurité techniques et organisationnelles,
  • dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données.


Relevons que le RGPD allège nettement le processus préexistant et prévoit, pour les entreprises d’au moins 250 salariés, l’obligation de tenir un registre des traitements qui devra être mis à disposition de la CNIL.

Pour chaque traitement, votre registre doit contenir la finalité du traitement, les catégories de données personnelles traitées, les acteurs qui traitent ces données, etc.

Pour mesurer concrètement l’impact du règlement européen sur la protection des données de votre activité, la tenue de ce registre des traitements vous permet de faire le point en commençant par recenser de façon précise les traitements de données personnelles existants dans votre entreprise et que vous mettez en oeuvre.

Vous pouvez vous appuyer sur les compétences informatiques éventuellement disponibles en interne pour élaborer ce registre, et tout état de cause vous s'inspirer du modèle mis en place par la CNIL.

Informer les salariés et candidats et recueillir leur consentement

Vous devrez informer les salariés et les candidats de la mise en place d’un traitement, de ses finalités et des modalités entourant ce traitement. Lors de la collecte des données, les candidats et employés devront être informés des mentions suivantes :

  • Les coordonnées du délégué à la protection des données ;
  • Le fondement juridique du traitement ;
  • En cas de transfert hors UE : les garanties offertes et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;
  • Le droit de la personne dont notamment son droit à la limitation du traitement et à la portabilité ;
  • Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • L’existence d’une obligation contractuelle ou réglementaire de fournir les données et conséquences du défaut de fourniture ;
  • L’intention d’effectuer un traitement ultérieur des données à d’autres fins ;
  • Si les données n’ont pas été collectées auprès de la personne concernée : leur source et le cas échéant une mention indiquant qu’elles sont issues ou non de sources accessibles au public.

 

Sur le même thème