Jeudi 26 Septembre 2019
Laurent Leloup

Le RGPD appliqué au droit social

Le 25 mai 2018, le règlement européen relatif à la protection des données personnelles est entré en vigueur. Il a été complété en droit français par la Loi n°2018-493 du 20 juin 2018. Ces textes fixent désormais les nouvelles normes sur le traitement des données personnelles des personnes physiques.


Hanifa RABHI, membre du groupe de travail Ressources humaines du réseau Absoluce, explique quelles en sont les implications pour les services RH des entreprises.

Ce RGPD impacte directement les services Ressources humaines et s'applique à toute organisation publique et privée, qui traite des données personnelles, pour son compte ou non.

On entend par donnée personnelle toute information qui permet d'identifier, directement (nom, prénom) ou indirectement (numéro client, numéro de téléphone, numéro de sécurité sociale, immatriculation, donnée biométrique, etc.), une personne.

En matière de ressources humaines, la collecte des données par l'employeur sur les salariés est régulière. Elle commence dès le recrutement pour se poursuivre avec l'embauche et la vie du contrat de travail, tout au long de la carrière du salarié (déclarations sociales, déclarations fiscales, arrêts, correspondances diverses, etc.). Le RGPD s'applique à tous les salariés dès lors qu'ils résident dans un pays européen.

Le RGPD fait de l'employeur un acteur important du traitement des données. Il importe donc d'observer la plus grande vigilance quant à ces obligations, à savoir :

L'information et le consentement préalable des salariés

L'employeur doit clairement informer les salariés du traitement de leurs données personnelles, et ce, à travers différents supports (règlement intérieur, contrat de travail, etc.).

La détention de certaines données impose le consentement préalable de l'employé concerné. Il doit être obtenu de manière explicite et non équivoque pour les traitements concernés, notamment par un écrit ou une case à cocher (Art. 7 RGPD).

L'exigence de minimisation des données personnelles collectées

De manière générale, les données recueillies par l'employeur devront être réduites au strict minimum et leur traitement proportionné à la finalité de leur collecte (Art. 7 RGPD).

Par exemple, lors de la phase de recrutement, les données collectées devront être limitées à celles nécessaires à l'évaluation des capacités du candidat au poste proposé. Par conséquent, les formulaires de candidature ne doivent imposer la divulgation de la situation matrimoniale d'un candidat ou l'étendue de sa paternité.

Des modalités particulières sont par ailleurs prévues pour les emplois où un extrait du casier judiciaire est nécessaire. Dans ce cas, l'employeur a l'interdiction de conserver ledit extrait ou des notes relatives à celui-ci.

L'obligation de garantir la sécurité et la confidentialité des données personnelles collectées

Toute entreprise doit garantir la protection des données personnelles des employés ainsi que leur confidentialité. Le responsable du traitement doit déterminer et mettre en place les mesures techniques et organisationnelles nécessaires pour assurer la confidentialité des données personnelles des employés afin d'éviter toute divulgation (Art. 32 RGPD).

Outre les considérations techniques intégrant la sécurité physique des lieux ou des serveurs et les dispositifs informatiques, se pose également la question de savoir qui a accès aux données des employés au sein de l'entreprise. En effet, on distingue habituellement la personne chargée du recrutement de celle qui gère les paies ou de celle qui traite les données de santé au travail. Dès lors, ces différents opérateurs ne doivent pas avoir accès aux mêmes données personnelles et il appartient à l'employeur de définir clairement les personnes et les données auxquelles elles ont légitimement accès, et cloisonner informatiquement ces accès.

Toute faille de sécurité devra être signalée dans un délai de 72 heures à la CNIL ainsi qu'à l'employé concerné (Art. 33 et 34 RGPD).

Reconnaissance du droit de l'employé sur ses données personnelles

Le RGPD créé de nouveaux droits, comme le droit à la portabilité des données personnelles ou le droit à l'oubli. Tout employé pourra saisir son service RH (ou la personne désignée) pour exercer les droits qu'il détient sur ses données personnelles. Sa demande devra être suivie d'une réponse sous 1 mois, ce qui implique la mise en place de mesures techniques adaptées pour respecter ce délai (Art. 3 RGPD).

La conservation des données personnelles des salariés

Les données personnelles des salariés ne peuvent être conservées que pour la durée nécessaire (Art. 5 RGPD).

La désignation d'un DPO (Data Protection Officer) ou DPD (Délégué à la Protection des Données)

Le RGPD généralise la désignation d'un DPO pour toutes les entreprises de plus de 250 salariés, dès lors qu'elles effectueront des traitements à grande échelle de suivi régulier et systématique des personnes ou de données sensibles (Art. 37 RGPD).

Le DPO n'est pas obligatoire pour toutes les entreprises, toutefois, la complexité du traitement des données, rend la désignation du DPO plus qu'indispensable.

Le DPO peut être un salarié de l'entreprise ou un prestataire extérieur, il convient de désigner une personne dédiée exclusivement à cette tâche pour éviter notamment la notion de conflit d'intérêt ou de mettre à mal son indépendance dans le cadre de la relation employé / employeur.

Le registre des traitements (entreprises de plus de 250 salariés)

La CNIL n'a plus à être consultée avant tout traitement. Désormais, l'employeur décide seul des traitements mis en place mais il en est responsable et doit pouvoir les justifier en cas de contrôle de la CNIL.

Les services RH doivent recenser l'ensemble des données personnelles collectées, qu'ils doivent alors cartographier dans ce registre.

Le registre doit clairement répertorier les traitements relatifs aux ressources humaines, en déterminer la finalité et prévoir les mesures de sécurités adéquates.

La CNIL peut prononcer diverses sanctions à l'égard des responsables de traitement qui ne respecteraient pas la Loi. Le montant des sanctions pécuniaires peut s'élever jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial et peuvent être rendues publiques


Absoluce est un réseau de cabinets indépendants d'expertise comptable, d'audit et de conseil, qui offre une palette de services complète en comptabilité, fiscalité, juridique, social, systèmes d'information et accompagnement stratégique. Il compte 22 cabinets répartis sur 49 sites sur toute la France et regroupe 690 collaborateurs, avec un chiffre d'affaires de 61,5 millions d'euros.
Absoluce est membre d'INAA, association internationale qui regroupe des cabinets d'expertise comptable et d'auditeurs indépendants présents dans 50 pays dans le monde.

FINYEAR & CHAINEUM

Lisez gratuitement le quotidien Finyear & sa newsletter quotidienne.
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en finance digitale, corporate finance & crypto finance.

Read for free The daily newspaper Finyear & its daily newsletter.
Receive the Finyear's newsletter every morning by email, a daily snapshot of the best news and expertise in digital finance, corporate finance & crypto finance.

------------------------

Chaineum :
Fondée en 2015, Chaineum est un cabinet de conseil en opérations de haut de bilan offrant une expertise de premier plan en matière d’ICO et STO, avec une vision stratégique orientée tant vers le métier de ses clients que sur la technologie blockchain. A ce titre, Chaineum a participé à la mise en œuvre de bonnes pratiques dans le secteur (ICO Charter, Security Token Network).
La division services blockchain de Chaineum, développe la technologie Chaineum Segment, une blockchain privée orientée objets.

About Chaineum:
Founded in 2015, Chaineum is a leading corporate finance advisory firm with a strong expertise in ICO and STO, and a strategic focus on both its clients' business and blockchain technology. As such, Chaineum paved the way in the implementation of certain best practices in this sector (ICO Charter, Security Token Network).
Chaineum's blockchain services division, is developing Chaineum Segment technology, an object-oriented private blockchain.

-------------------------

No Offer, Solicitation, Investment Advice, or Recommendations

This website is for informational purposes only and does not constitute an offer to sell, a solicitation to buy, or a recommendation for any security, nor does it constitute an offer to provide investment advisory or other services by FINYEAR.
No reference to any specific security constitutes a recommendation to buy, sell or hold that security or any other security.
Nothing on this website shall be considered a solicitation or offer to buy or sell any security, future, option or other financial instrument or to offer or provide any investment advice or service to any person in any jurisdiction.
Nothing contained on the website constitutes investment advice or offers any opinion with respect to the suitability of any security, and the views expressed on this website should not be taken as advice to buy, sell or hold any security. In preparing the information contained in this website, we have not taken into account the investment needs, objectives and financial circumstances of any particular investor.
This information has no regard to the specific investment objectives, financial situation and particular needs of any specific recipient of this information and investments discussed may not be suitable for all investors.
Any views expressed on this website by us were prepared based upon the information available to us at the time such views were written. Changed or additional information could cause such views to change.
All information is subject to possible correction. Information may quickly become unreliable for various reasons, including changes in market conditions or economic circumstances.

Articles similaires