Mesures de protections des données (RGPD) et informations obligatoires
Le Règlement général sur la protection des données (RGPD) (Règlement UE 2016/679 du 27 avril 2016) constitue la base de la réglementation en matière de protection des données à caractère personnel, il est applicable depuis le 28 mai 2018.
On entend par donnée à caractère personnel toute information permettant d’identifier directement une personne (nom, prénom, par exemple) ou indirectement (numéro client, numéro de téléphone, numéro d’immatriculation pour la gestion d’un parking…).
Le RGPD s’applique quelle que soit la taille de l’entreprise, son chiffre d’affaires ou le nombre de ses salariés.
Il repose, d’après ce texte, plusieurs obligations sur l’employeur, ce dernier doit :
- Mettre en place des mesures de protection appropriées concernant le traitement et la conservation des données sur ses salariés ;
- Informer les salariés et le cas échéant le comité social et économique.
- Le traitement et la conservation des données personnelles :
L’employeur, en sa qualité de responsable de traitement, est tenu à l’obligation d’assurer la sécurité et la confidentialité des données qu’il traite sur les salariés, et doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour la garantir.
Il doit respecter les 5 grands principes suivants pour protéger ces données :
- Le « principe de finalité » implique qu’on ne puisse conserver et utiliser les données personnelles d’une personne physique que dans un but précis, légal et légitime.
2. Le « principe de proportionnalité et de pertinence » engage à ne conserver que les données personnelles strictement nécessaires au regard de la finalité voulue. Autrement dit, seules les informations utiles et pertinentes pour accomplir leurs missions doivent être demandées par l’employeur aux salariés.
3. Le « principe de durée de conservation limitée » oblige à fixer à l’avance la durée de conservation d’une donnée personnelle de manière définie, puis à la supprimer au-delà du temps prévu.
Ainsi, les données d’évaluation ne devraient pas être conservées au-delà de la période d’emploi du salarié concerné.
Toutefois, la délibération de la CNIL du 21 novembre 20219 a indiqué qu’il est possible de conserver ces informations plus longtemps, le temps des délais de prescription et /ou de forclusion applicables, notamment pour se prémunir contre une éventuelle action en justice d’un ancien salarié.
4. Le « principe de de sécurité et de confidentialité » concerne l’accessibilité, limitée aux personnes autorisées à y avoir accès, des données détenues.
L’employeur est garant des données qu’il possède et en assume la responsabilité. En cas de violation avérée, il doit en informer la CNIL (autorité de contrôle désignée pour la France) dans les 72 heures.
5. Le « principe de reconnaissance du droit des personnes » comprend notamment les droits du salarié d’information, d’accès, de modification et de suppression.
Par ailleurs, certains employeurs ont l’obligation de désigner un délégué à la protection des données (DPD), ce sont ceux dont les activités de base consistent en :
– des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
– un traitement à grande échelle de données dites sensibles (Règl. n° 2016/679, 27 avr. 2016, art. 37).
Une fois désigné, l’employeur doit communiquer les coordonnées du délégué à la Cnil et aux salariés.
- Les informations obligatoires :
- Information du comité social et économique
Dans les entreprises d’au moins 50 salariés, le comité social et économique (CSE) doit être informé, préalablement à leur introduction dans l’entreprise, sur les traitements automatisés de gestion du personnel, et sur toute modification de ceux-ci.
- Information des salariés
L’employeur doit informer les salariés sur les données personnelles qu’il collecte et les traitements qu’il met en œuvre dans l’entreprise d’une façon concise, transparente, compréhensible et aisément accessible, soit par écrit ou soit, lorsque cela est approprié, par voie électronique (Règl. N°2016/679, 27 avr. 2016, art.12).
Cette information peut intervenir de plusieurs manières : charte d’utilisation des outils informatiques, note de service, contrat de travail, information sur l’intranet de l’entreprise, règlement intérieur, courrier d’information joint au bulletin de paie…
Concrètement, les informations à communiquer aux salariés sont les suivantes :
– l’identité et les coordonnées du responsable du traitement (l’employeur), et le cas échéant, du représentant du responsable du traitement ;
– si la gestion de la paie a été confiée à un tiers : identité et coordonnées de la société responsable de la paie ;
– les finalités poursuivies et la base légale du dispositif (et en cas de changement de la finalité du traitement, doivent être transmises au salarié concerné des informations sur la nouvelle finalité du traitement).
Par exemple, l’employeur récolte des données personnelles sur ses salariés comme leur nom, prénom, l’âge, le numéro de téléphone, l’adresse. L’employeur doit indiquer à ses salariés que leurs données sont traitées à des fins de gestion, de recrutement, de rémunération ;
– les destinataires des données personnelles (organismes de sécurité sociale, caisses de retraite, organismes de prévoyance, mutuelle, services des impôts, service de médecine du travail, Pôle emploi…),
– la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
– le droit pour le salarié de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement, ou de s’opposer au traitement et le droit à la portabilité des données;
– le droit d’introduire une réclamation auprès de l’autorité de contrôle (la Cnil).
- Violation des données :
Si l’entreprise est victime d’une violation de données à caractère personnel susceptible de présenter un risque pour les droits et libertés des personnes concernées (par exemple des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées), elle doit le signaler à la Cnil dans les 72 heures.
Un service de notification en ligne est disponible sur le site www.cnil.fr
- Contrôles et sanctions :
La Cnil peut procéder à des contrôles sur place, ou des contrôles en ligne, afin de vérifier la conformité des traitements de données personnelles aux dispositions du règlement européen et de la loi Informatique et libertés.
Les visites et vérifications menées par les agents de la Cnil font l’objet d’un procès-verbal dressé contradictoirement.
L’entrave à l’action de la Cnil est passible d’un an d’emprisonnement et de 15 000 € d’amende.
Le non-respect de la règlementation issue du RGPD est passible de sanctions pénales et peut entraîner la condamnation de l’employeur à des dommages et intérêts réparant le préjudice éventuellement subi par ses salariés.
L’employeur, en tant que responsable de traitement, peut faire l’objet de sanctions administratives en cas de méconnaissance des dispositions du règlement : avertissement, mise en demeure, injonction de mise en conformité ou de cesser le traitement, suspension des flux de données, etc…