Le règlement européen 2016/679 relatif à la protection des données (RGPD ou GDPR en anglais) entre en application à compter du 25 mai 2018. Les entreprises doivent plus que jamais se préparer à la mise place du nouveau régime de protection des données personnelles.

Une nouvelle approche de la gestion des données personnelles

Le RGPD vient combler les lacunes de la directive 95/46/CE du 24 octobre 1995 qui était appliquée différemment selon les Etats membres de l’Union européenne. La disparité des normes de protection des données personnelles au sein de l’Union européenne, terrain privilégié des échanges commerciaux et a fortiori des « data », était un frein à la protection des données.

Le principal atout du règlement européen est, contrairement à la directive, de garantir une application uniforme de ses dispositions dans tous les Etats membres et par conséquent, de renforcer le droit des personnes.

Le règlement transforme la logique déclarative de la loi informatiques et libertés en une logique de responsabilisation des entreprises. Désormais, les entreprises sont tenues de s’assurer, à tout moment, de la conformité de leurs traitements de données à caractère personnel aux exigences légales (c’est le principe d’« accountability », c’est-à-dire un processus autogéré de mise en conformité avec la réglementation).

La principale conséquence de cette responsabilisation est la suppression des obligations déclaratives pour tous les traitements qui ne constituent pas un risque pour la vie privée des personnes. Pour tous les traitements présentant un risque (données sensibles, statistiques), le responsable du traitement devra préalablement conduire une étude d’impact sur la vie privée faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées. Dans certains cas, l’entreprise devra consulter la Commission nationale de l’informatique et des libertés (Cnil) qui pourra s’opposer à la mise en place du traitement.

L’ « accountability » repose essentiellement sur la protection des données dès la conception d’un procédé ou d’un service requérant l’utilisation de données personnelles (« privacy by design »).

Elle repose également sur l’engagement que seules les données personnelles nécessaires à la finalité du traitement seront traitées (« privacy by default »).

Dans le prolongement de cette obligation, le règlement impose aux entreprises de notifier à la Cnil, dans les 72 heures, les failles dans la sécurité des traitements de données et d’informer les personnes concernées, si cette violation est susceptible de porter atteinte à leurs droits et libertés.

DRH, êtes-vous prêts ?

Pour les DRH, la mise en conformité avec ce nouveau dispositif va concerner à la fois les données relatives aux salariés et aux candidats, collectées et traitées directement par l’entreprise, mais également toutes les données traitées par les sous-traitants ou prestataires de services, notamment en matière de paie, de service de santé au travail etc. Il convient donc d’analyser précisément tous les contrats en cours car désormais l’entreprise doit s’assurer que le sous-traitant auquel elle a recours présente les garanties nécessaires et suffisantes dans le traitement des données personnelles qui lui sont transmises. Les modalités de traitement de ces données et les garanties associées doivent être prévues dans le contrat de sous-traitance.

Les entreprises devront également instaurer des procédures pour organiser les droits nouveaux des candidats ou salariés concernés par les traitements de données, notamment leurs droits d’accès, d’opposition, de rectification et de suppression des données ainsi que leur droit à la limitation, à la portabilité ou à l’oubli.

De surcroît, les règles, chartes ou politiques internes en matière de protection des données devront être adaptées. La plupart des entreprises (et notamment celles de plus de 250 salariés) devront tenir à jour un registre détaillant les traitements de données.

En pratique, il est donc clé pour les services RH de procéder à une véritable audit interne et de traquer tous les domaines où des données personnelles peuvent être collectées et traitées : le recrutement, les contrats de travail, la paie (bulletins de paie, informations transmises aux gestionnaires d’épargne salariale, caisse de retraite et prévoyance, mutuelle, etc.), dossiers RH, évaluations professionnelles, vidéo-surveillance .mais également de définir pour chaque type de donnée quelle sera la durée de conservation et les personnes habilitées à y accéder.

Le service RH doit également préparer une notice d’information remise aux salariés et futurs salariés détaillant précisément l’identité et les coordonnées du responsable de traitement, les finalités, les destinataires des données, leur éventuel transfert en dehors de l’Union Européenne, la durée de conservation, les droits en matière d’accès, de rectification, effacement, portabilité, etc.

Ces évolutions normatives pourront être menées en collaboration avec le délégué à la protection des données (le fameux DPO). Sa désignation est d’ailleurs devenue obligatoire, dans le cas où les activités principales des entreprises les amènent à réaliser un suivi de personnes ou à traiter des données sensibles à grande échelle.

Des sanctions dissuasives

De lourdes sanctions sont prévues par le règlement en cas de manquement des entreprises à leurs obligations. Ainsi, la Cnil pourra prononcer à l’égard de l’entreprise défaillante une amende d’un montant égal à 4% du chiffre d’affaires annuel mondial ou de 20 millions d’euros, le montant le plus élevé étant retenu. En outre, il existe un risque pénal pour les entreprises pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende pour les personnes physiques (jusqu’à 1 500 000 euros pour les personnes morales).

Au-delà de la mise en conformité, il est donc primordial que les entreprises s’assurent que toutes les personnes des services RH amenées à traiter des données personnelles soient formées sur le sujet.
La Cnil a annoncé qu’elle opérerait un contrôle pragmatique, pendant les premiers mois suivants l’entrée en vigueur du Règlement, en distinguant les principes fondamentaux de la protection des données qui restent globalement inchangés et qui seront contrôlés rigoureusement, et les nouvelles obligations pour lesquelles les contrôles auront un caractère pédagogique d’accompagnement des entreprises.

Anne-Laure Villedieu, avocat associée, droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.

Caroline Froger-Michon, avocat associée, droit social

DRH : attention, le RGPD c’est maintenant ! – Article paru dans Les Echos Exécutives le 9 mai 2018