Il faut bien l’admettre, à l’exception de certains groupes internationaux ou d’autres sociétés à l’activité spécifique, la question de la protection et du traitement des données personnelles n’avait jamais jusqu’à présent été le centre d’attention des employeurs. Il faut dire qu’entre l’exemption de déclaration préalable des traitements des données à caractère personnel pour les Ressources Humaines auprès de la Commission pour la Protection de la Vie Privée (CPVP) et l’absence de réel pouvoir de contrôle (ou de sanction) de cette dernière, la tentation était de grande de s’en tenir au strict minimum.
Cette réalité va changer et chaque employeur ferait bien de s’y préparer puisque le Parlement européen et le Conseil ont mis fin à plus de 4 années de discussion en adoptant, le 27 avril 2016, un Règlement 2016/79 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD). Ce règlement renforce considérablement les principes en vigueur en mettant l’accent sur la responsabilisation des responsables de traitements et des sous-traitants ; en imposant une plus grande harmonisation et efficacité entre les pays européens ; en prévoyant des outils de suivis et de contrôle du bon respect du règlement ; en renforçant la protection et les droits des personnes concernées et enfin en renforçant les pouvoirs des autorités de protection.
Il entrera en vigueur le 25 mai 2018, il vous reste donc quelques mois pour vous préparer.
L’idée de la présente contribution n’est pas de vous faire une présentation exhaustive mais bien de vous rappeler, concrètement, vos nouvelles obligations quant aux données personnelles récoltées auprès de votre personnel. Nous prenons donc volontairement la casquette « RH » – responsable de traitement des données des salariés de l’entreprise -, mais vous rappelons bien entendu que le champ d’application du RGDP est bien plus large (vous cumulez sans doute plusieurs casquettes, prenez donc garde).
- Choisissez un délégué à la protection des données: si vous êtes une autorité publique ou que votre activité principale consiste à traiter, à grande échelle, de données à caractères personnel/sensibles, vous serez obligé de désigner un délégué à la protection des données (art 37 à 39). Ce délégué aura pour mission notamment de contrôler le respect du GDPR, il aidera également dans la rédaction de l’inventaire (ci-après), effectuera les analyses d’impact ((Dans certaines situations, lors de la mise en place de traitement de données sensibles, il convient d’évaluer s’il est nécessaire de procéder
à une analyse d’impact (article 35). Nous n’abordons pas spécifiquement cette problématique dans la présente contribution mais il est évident que tout employeur devra à présent inscrire dans ses bonnes pratiques le réflexe de se poser la question de la nécessité, du risque,de l’impact,…d’un nouveau traitement de données.))
Attention, si vous désignez un membre de votre personnel, vous devrez lui donner les moyens d’accomplir sa mission tant au niveau matériel (répartition de son horaire de travail même s’il n’est nullement exigé un temps plein, ressources suffisantes, etc.) qu’organisationnel (garantir son indépendance, l’impliquer, éviter le conflit d’intérêt). Nous vous rappelons enfin qu’à l’instar d’autres protections, il ne peut être licencié ou pénalisé dans son chemin de carrière pour un motif lié à l’exercice de sa fonction de délégué.
Notre conseil : aucun diplôme, ni certification particulière n’est requis pour exercer a fonction de délégué. Il doit néanmoins posséder des connaissances spécialisées du droit et des pratiques en matière de protection des données dans le secteur visé. Il doit par ailleurs donner des garanties en matière d’éthique. Un avocat spécialisé semble donc tout désigné pour cette tâche.
- Faites l’inventaire des activités de traitement des données du personnel au sein d’un registre : en lieu et place des notifications préalables à la CPVP, le GDPR impose aux entreprises de plus de 250 personnes de tenir un registre des traitements effectués sous leur responsabilité sous forme écrite ou électronique. Les PMEs sont donc exemptées sauf si les traitements sont susceptibles de comporter un risque pour les droits et libertés des personnes concernées, si le traitement n’est pas occasionnel ou s’il porte sur des données sensibles (médicales, judiciaires,…). Ce registre n’est pas public mais devra être mis à disposition de l’autorité de contrôle ou du délégué à la protection de données. Le contenu de ce registre doit contenir impérativement certaines informations (noms et coordonnées du responsable de traitement et du délégué à la protection de données, les finalités de traitement, la catégorie de personne concernée, les délais de conservation etc.).Notre conseil : la CPVP ne propose pas encore de « template ». Nous avons donc développé un canevas type que nous vous proposons d’utiliser.
- Veillez à informer clairement vos travailleurs et à obtenir leur consentement exprès (chapitre 3 RGPT): vous disposez sans doute de clauses types au sein de votre règlement ou de vos contrats de travail informant les travailleurs de l’utilisation de leurs données personnelles et constatant leur accord. Celles-ci doivent être modifiées afin de répondre aux nouvelles exigences du GDPR. Il vous faudra en effet communiquer le fondement légal du traitement des données et les délais de conservation, préciser les finalités, les motifs légitimes et l’existence éventuelle d’un transfert des données hors de l’Union européenne. Il faudra encore informer le travailleur de son droit d’accéder à ses données (dans les 30 jours), d’en obtenir copie (dans un format lisible et structuré), de son droit à la rectification ou à l’oubli (suppression des données) s’il ne souhaite plus que ses données soient traités dès lors qu’aucun motif légitime ne le justifie encore. Il faudra encore l’informer de son droit d’introduire une plainte devant la CPVP ou de l’identité du délégué. Le tout devra prendre la forme d’une communication claire et compréhensible.Il faudra enfin que le travailleur donne son consentement explicite sur l’utilisation des données.Notre conseil : nous ne saurions par conséquent trop vous recommander d’évaluer vos procédures existantes et d’adapter, le cas échéant, vos règlements (de travail, « policies », contrats) ou de rédiger un document spécifique à faire signer par l’ensemble des travailleurs. Il conviendrait également d’évaluer la manière dont vous répondez aux demandes d’accès (logistique, délai,…).
- Sensibilisez vos travailleurs à la fuite de données afin de pouvoir réagir directement : si les problèmes de « hacking » (piratage informatique) font les gros titres de la presse, la fuite de données peut prendre des formes beaucoup plus communes et moins spectaculaires : vol de l’ordinateur professionnel, envoi d’une pièce jointe contenant des données d’un autre client, etc. Vous devrez à présent notifier toute « data breach » (article 33 et 34) entrainant un risque de dommage (vol d’identité, violation d’une obligation de confidentialité,…) pour la personne concernée à la CPVP.Notre conseil : prévoir une procédure claire et précise qui remplira le double objectif de sensibilisation du personnel et de documentation des actions curatives prises suites à un data breach (information de la CPVP, information des personnes concernées, suppression des données transmises erronément, etc.).
- Contrôlez les contrats avec vos sous-traitants HR traitant des données personnelles et sensibles de votre personnel (secrétariats sociaux, assurances, service externe de prévention etc.). En effet, le RGPT impose de nouvelles obligations et de nouvelles conditions aux rapports entre le responsable de traitement et les sous-traitants (notamment une plus grande responsabilisation de ces derniers par exemple dans un rôle d’assistance du responsable de traitement en cas d’analyse d’impact).Notre conseil : il convient de vérifier si les mesures de sécurité (clauses types) prévues au contrat répondent aux nouvelles exigences du RGPT.
- Vous êtes une société internationale active dans plusieurs pays européens, choisissez votre organisme de contrôle. C’est le principe du guichet unique (article 56) et cela traduit une volonté de coopération renforcée entre les autorités de contrôle de l’U.E. Les entreprises multinationales pourront fonctionner avec une seule autorité de contrôle.Tant qu’à parler des entreprises internationales, le RGPT prévoit deux nouveaux outils pour les transferts de données hors de l’U.E. : la certification et le code de conduite. Cela vient compléter l’arsenal existant (Binding Corporate Rule, accord internationaux, etc.).
La modification la plus notable apportée par le RGPD reste cependant le pouvoir de sanction qui sera attribué aux autorités de contrôle. De lourdes amendes administratives pouvant aller dans certains cas jusque 20 millions d’euros ou 4% du chiffre d’affaires sont prévues. En outre, les travailleurs pourront porter plainte auprès de la CPVP et introduire des demandes de dommages et intérêts devants les tribunaux
Ces obligations et l’échelle de sanction seront, nous l’espérons, précisées entre temps. Nous vous tiendrons bien entendu au courant mais si vous n’avez pas encore lancé le processus de mise à niveau, il est plus que temps.
N’hésitez pas à nous contacter pour connaître les solutions que nous pouvons vous fournir. Nous avons développé au sein du cabinet une expertise particulière dans la mise en oeuvre du RGPD auprès des sociétés.
Christophe Depoorter – avocat au sein de lex4u.com
