L'essentiel

Le RGPD est le règlement de l'Union européenne sur la protection des données personnelles. Les ressources humaines collectent et conservent de nombreuses données personnelles sur les salariés : adresse, mail personnel, numéro de téléphone, situation familiale, date de naissance, etc. Elles sont donc pleinement concernées par le respect du RGPD.

Qu'est-ce que le RGPD ?

Le règlement de l'Union européenne du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « RGPD » ; , JOUE L 119, 4 mai 2016) est entré en vigueur le 25 mai 2018 dans l'Union européenne (le sigle RGPD signifiant « Règlement Général sur la Protection des Données »).

Il a été complété en France par la loi relative à la protection des données personnelles et par une ordonnance Ord. no 2018-1125, 12 déc. 2018, qui modifient la loi informatique et libertés du 6 janvier 1978 .

Qu'est-ce qu'une donnée personnelle ?

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable :

  • directement (nom, prénom, etc.)
  • ou indirectement (par un identifiant, tel un nº client, un numéro de téléphone, une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l'image).

L'identification d'une personne physique peut être réalisée à partir d'une seule donnée (numéro de sécurité sociale, ADN, etc.) mais également à partir du croisement d'un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association).

Exemple
Une base marketing contenant de nombreuses informations précises sur la localisation, l'âge, les goûts et les comportements d'achats de consommateurs, y-compris si leur nom n'est pas stocké, est considérée comme un traitement de données personnelles, dès lors qu'il est possible de remonter à une personne physique déterminée en se basant sur ces informations.

Quels principes gouvernent les règles du RGPD ?

Le règlement général consacre deux principes en matière de protection des données personnelles :

  • la protection de la vie privée par défaut (privacy by default), qui signifie que seule la quantité de données personnelles strictement nécessaire au but poursuivi doit être collectée pour un temps, une étendue de traitement et une accessibilité limités
  • la protection de la vie privée dès la conception (privacy by design), qui exige que les systèmes de traitement de données personnelles soient conçus dans le respect de la vie privée des personnes concernées .
Remarque
Dans ce cadre, l'employeur est tenu de traiter toute donnée à caractère personnel de manière licite, loyale et transparente au regard de la personne concernée. Il doit les collecter pour des finalités déterminées, explicites et légitimes et ne peut les traiter ultérieurement d'une manière incompatible avec ces finalités.

Le RGPD favorise une logique de responsabilisation des acteurs (entreprises ou autres) réalisant des traitements de données susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques. La Cnil Commission nationale de l'informatique et des libertés est chargée d'un contrôle a posteriori sur la base des informations rassemblées et fournies par les acteurs eux-mêmes.

Quel est le rôle de la Cnil ?

La Cnil Commission nationale de l'informatique et des libertés a une mission d'information et de conseil. Dans ce cadre, elle propose de nombreux outils aux entreprises afin de les aider à se mettre en conformité avec le RGPD https://www.cnil.fr/professionnel. Elle publie notamment des référentiels : il s'agit de cadres de référence qui permettent à un organisme de mettre en conformité un traitement de données spécifique. Ils n'ont pas de caractère contraignant. Hors question de santé, les référentiels suivants ont été publiés pour les entreprises :

La Cnil a également un rôle de contrôle et de sanction en cas de non-conformité au RGPD .

Remarque
Depuis le 25 mai 2018, la Cnil n'exerce plus de contrôle a priori par le biais de déclarations ou d'autorisations. Les responsables de traitement, sauf très rares exceptions prévues par le règlement (traitement de données relatives à la santé), n'ont donc plus à effectuer de démarches préalables à la mise en place d'un système de traitement automatisé de données personnelles.

Qu'est-ce qu'un traitement de données ?

Un traitement de données est une opération ou un ensemble d'opérations portant sur ces données personnelles. Il peut s'agir de collecte, d'enregistrement, d'organisation, de conservation, d'adaptation, de modification, d'extraction, de consultation, d'utilisation, de communication, ou encore de rapprochement de données.

Peu importe que ce traitement ne soit pas informatisé : un fichier de données tenu sur papier doit répondre aux exigences fixées par le RGPD.

Remarque
En pratique, les entreprises sont concernées par le RGPD au titre de l'ensemble des données afférentes à leurs salariés tant au moment du recrutement (identification du candidat, parcours professionnel, compétences, diplômes, etc.) et de l'embauche (données administratives destinées au service paye, au bénéfice des activités sociales et culturelles, etc.), que tout au long de la relation de travail (arrêts maladie, taux d'imposition fiscale, évaluations de compétences, etc.).

Quelles sont les obligations de l'employeur vis-à-vis du RGPD ?

L'employeur est responsable des traitements de données qui sont utilisés dans l'entreprise. Il est soumis à un système d'autocontrôle et doit être capable de démontrer à tout moment la conformité de ses traitements de données avec le RGPD.

Dans ce cadre, il doit s'assurer de :

Pour afficher ce contenu :
créez votre compte gratuitement !
Pour afficher ce contenu :
créez votre compte gratuitement !