Actualités

L’impact du RGPD pour les entreprises

Posté le : 30 mai 2018

L’impact du RGPD pour les entreprises

Le Règlement de l’Union Européenne relatif à la protection des données (RGPD), adopté le 27 avril 2016, dans un objectif de renforcement des droits des personnes quant à l’utilisation des données personnelles et de responsabilisation des acteurs traitant ces données sera applicable à l’ensemble des États membres de l’Union, le 25 mai 2018.

Toute personne physique ou morale amenée à réaliser un traitement de données personnelles, à savoir d’« information permettant d’identifier une personne physique » soit directement (nom, prénom, numéro de sécurité sociale, etc.) soit indirectement (par référence à des éléments qui lui sont propres : identifiant spécifique, fonction, etc.) est concernée par l’application du RGPD.

Le Règlement de l’Union Européenne relatif à la protection des données (RGPD), adopté le 27 avril 2016, dans un objectif de renforcement des droits des personnes quant à l’utilisation des données personnelles et de responsabilisation des acteurs traitant ces données sera applicable à l’ensemble des États membres de l’Union, le 25 mai 2018.

Toute personne physique ou morale amenée à réaliser un traitement de données personnelles, à savoir d’« information permettant d’identifier une personne physique » soit directement (nom, prénom, numéro de sécurité sociale, etc.) soit indirectement (par référence à des éléments qui lui sont propres : identifiant spécifique, fonction, etc.) est concernée par l’application du RGPD.

Ainsi, toute Société détenant un fichier client ou un fichier du personnel ou encore des données propres au service RH est directement concernée par les nouvelles obligations du RGPD. Les actions des entreprises devront désormais prendre en compte, de manière systématique, les principes de protection des données, sous couvert de sanctions financières lourdes (allant jusqu’à 4% du chiffre d’affaire annuel mondial de l’exercice précédent ou 20 millions d’euros, selon le montant le plus important).

Les implications du RGPD pour les entreprises sont multiples et notamment en ce qui concerne les services RH qui devront, à titre d’exemple :

– Disposer d’un outil RH conforme aux principes du RGPD. L’outil doit uniquement permettre la saisie de données adéquates, pertinentes et limitées au regard des finalités de traitement et doit fixer les durées de conservation. À titre d’exemple, l’outil RH ne doit pas permettre de collecter le numéro de sécurité sociale d’un candidat à l’embauche, ces données n’étant pas nécessaires pour qu’il puisse postuler à une offre d’emploi.

Ces mêmes règles s’appliquent pour les éléments enregistrés au titre de la gestion de carrière du salarié ou d’évaluation professionnelle de ce dernier.

L’outil RH existant au sein de la Société ou le fournisseur de l’outil RH doit permettre : de rectifier ou effacer les données inexactes, de gérer les demandes d’accès/de rectification et de suppression émanant des salariés, de s’assurer de la sécurité des données, et d’assurer la suppression définitive des données à l’issue de la durée de conservation recommandée au regard des finalités pour lesquelles les données ont été traitées.

– L’employeur ou le sous-traitant des données doit également analyser l’impact relatif à la protection des données (AIPD). L’objectif de cette analyse est d’apprécier l’impact du traitement des données sur la vie privée des salariés. Ainsi, il s’agira de déterminer si le traitement est nécessaire et proportionné au regard des principes et droits fondamentaux prévus par le RGPD, ainsi que d’identifier les mesures techniques et organisationnelles assurant la protection des données. L’analyse d’impact relative à la protection des données n’est pas obligatoire pour les traitements RH dès lors qu’ils ne sont pas susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

– Le responsable des traitements devra établir un registre des traitements destiné à cartographier les traitements RH et à les documenter dans un registre spécifique, en lieu et place de la précédente déclaration préalable à la CNIL. Ce registre doit être tenu à jour et mis à disposition de la CNIL en cas de contrôle.

– Les modalités d’information des salariés et des candidats quant à la collecte de leurs données personnelles devront être précisées et portées à leur connaissance.

Des mesures similaires sont également applicables en matière de traitement des données clients ou de vidéo-surveillance par exemple.

A l’occasion de ses contrôles, la CNIL a annoncé qu’elle vérifierait de manière rigoureuse les principes fondamentaux de la protection des données (loyauté, pertinence du traitement, durée de conservation, sécurité des données), et les nouvelles obligations relatives au RGPD (droit à la portabilité, analyse d’impact, etc.) afin d’accompagner les organismes dans leur transition.

Afin de faciliter la mise en application du RGPD, la CNIL a d’ores et déjà publié des méthodes, logiciel d’impact, modèles types dont un registre de traitement.

Lyon, le 25 avril 2018