L’impact du RGPD sur les données RH

Par Larisa RUSU

 

 

Le Règlement Général sur la Protection des Données (RGPD) applicable à partir du 25 mai 2018 marque une étape majeure pour la protection de données. En plus du renforcement des droits des personnes, le RGPD entraîne des conséquences importantes pour les acteurs traitant des données personnelles, notamment pour les entreprises.

Dans le cadre de la stratégie de mise en conformité, les entreprises se concentrent souvent sur les données des clients. Toutefois, il ne faut pas oublier que la nouvelle réglementation s’étend aussi bien aux relations entreprises-clients qu’aux relations entreprises-salariés. Ainsi, il est vital que les services RH participent à cette stratégie de mise en conformité.

En effet, les services RH ont accès aux données personnelles voire même sensibles des salariés dès la phase du recrutement, c’est-à-dire avant même la signature du contrat de travail, jusqu’au départ du salarié de l’entreprise. Ainsi, le traitement des données RH doit être conforme à la nouvelle réglementation. Pour ce faire, il y a plusieurs conseils à suivre.

 

L’information et le consentement préalable des salariés

Avant tout traitement de leurs données, les salariés doivent recevoir des informations de façon claire et précise portant notamment sur : l’identité du responsable de traitement, la finalité de la collecte, les destinataires des informations, les droits les concernant, les éventuels transferts de données en dehors de l’Union européenne.

De plus, l’employeur doit obtenir, préalablement à la collecte, le consentement du salarié concerné qui doit « être donné par un acte positif clair » par lequel le salarié « manifeste de façon libre, spécifique, éclairée, et univoque » son accord au traitement des données le concernant. Cependant, selon le G29, il est peu probable que le consentement du salarié soit considéré comme étant libre compte tenu du lien de subordination qui existe entre l’employeur et le salarié. Ainsi, l’employeur ne peut se fonder sur le consentement que dans des cas très rares : lorsque le choix du salarié n’a pas de conséquences néfastes sur sa relation de travail, étant également rappelé qu’il pourra retirer son consentement à tout moment. Il reviendra à l’employeur de démontrer que le consentement a été donné librement.

 

Le respect de l’exigence de minimisation des données

Lorsque les services RH traitent une masse importante de données personnelles, ils doivent se limiter à ne traiter que les données nécessaires à l’objectif pour lequel les données sont collectées. Ainsi, il est strictement interdit de demander aux salariés des données personnelles qui ne sont pas utiles au traitement poursuivi. Par exemple, lors de l’entretien d’embauche il est interdit de demander au salarié des informations sur son orientation sexuelle, son appartenance religieuse ou sur son état de santé.

 

Le respect des droits de salariés

Un des objectifs principaux du RGPD est le renforcement des droits des individus. La nouvelle réglementation garantit les droits déjà existants (le droit d’accès, d’opposition et de rectification) et en crée des nouveaux, notamment le droit à l’oubli et le droit à la portabilité des données.

Les services RH doivent garantir aux salariés l’exercice de leurs droits sur leurs données personnelles. Cela signifie que le processus de saisine des services RH doit être adapté étant donné qu’une réponse à la demande doit être apportée sous 1 mois.

 

Le respect de la durée de conservation des données RH   

Les données personnelles des salariés doivent être conservées pour une durée nécessaire à l’objectif poursuivi par la collecte. Mais parfois l’employeur doit conserver certaines données pendant une durée plus longue que la finalité initiale, en raison d’une obligation légale.

La durée de conservation des données RH varie donc d’un type de donnée à l’autre. Par exemple, les données relatives aux bulletins de paie doivent être conservées pendant 5 ans à compter de leur versement, les informations en lien avec la gestion du personnel seront supprimées 5 ans après le départ du salarié.

 

Garantir un accès limité et contrôlé aux données des salariés

L’accès aux données des salariés doit être limité aux seules personnes habilitées. C’est à l’employeur que revient l’obligation de déterminer tant les personnes qui ont accès aux données des salariés que le type de données auxquelles ces personnes ont légitimement accès.

De plus, pour garantir la sécurité des données RH, l’employeur doit prendre toutes les mesures opérationnelles pour garantir la sécurité et contrôler l’accès aux données de leurs salariés.

Le traitement des données RH oblige les employeurs à se mettre en conformité avec la nouvelle réglementation européenne, d’autant plus que les sanctions peuvent s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise.

Enfin, il est pertinent de rappeler que le RGPD donne la possibilité aux Etats membres de « prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail ». Il est donc probable que les règles évoluent encore dans ce domaine … A suivre !

 

 

 


Actualité du Groupe


13 septembre 2018 : Apéro RGPD gratuit au Pathé Brumath le 11 octobre 2018
12 septembre 2018 : ActeCil anime une conférence RGPD gratuite en Martinique
12 septembre 2018 : L’édition 2018 du code de la protection des données vient de paraître !
12 septembre 2018 : La Minute RGDP : violation de données personnelles
12 septembre 2018 : Prélèvement de l’impôt à la source et RGPD : bénéficiez de l’expertise d’ActeCil !
12 septembre 2018 : Eviter une sanction après une mise en demeure, est-ce possible ?
9 août 2018 : NOUVEAU : In English ! La formation e-learning de sensibilisation des collaborateurs à la protection des données est disponible en anglais !
9 août 2018 : La Minute RGPD : La Vidéosurveillance au Travail
9 août 2018 : La CNIL a sanctionné l’OPH de Rennes
9 août 2018 : La problématique majeure du défaut d’information
accueil Blog Actu-CIL