Thématiques

RGPD : que faut-il respecter concernant les données des salariés ?

Soit vous êtes déjà bien au courant, soit vous en avez vaguement entendu parler : vendredi 25 mai 2018, le Règlement Général de Protection des Données (RGPD) entrera en vigueur.

Une bonne nouvelle a priori puisque que cette nouvelle règle renforce les droits individuels en donnant aux citoyens européens un contrôle total sur les données collectées, utilisées et stockées qui les concernent. Consommateurs, mais aussi salariés... Quel impact sur la gestion des données des employés ?

On a tendance à l’oublier, mais au-delà des consommateurs et utilisateurs, le RGPD va renforcer la protection des données personnelles des salariés. Le règlement impose ainsi à toute entreprise, qu’elle que soit sa taille, une mise en conformité. Si les grandes entreprises s’y sont préparées depuis longtemps, TPE et PME voient la mise en place du RGPD comme une nouvelle obligation administrative complexe à mettre en place et chronophage.

De nouvelles pénalités qui font peur aux entreprises
Comme le rappelle le site silicon.fr, le SIRH – l’interface entre la gestion des ressources humaines (GRH) et les techniques de l’information et de la communication – « est le système réunissant le plus de données personnelles ». « Porté par la généralisation du mode SaaS », il « ouvre la porte à de nouvelles zones de risque ». Pourtant, 50 % des entreprises ne pensent pas être prêtes avant le 25 mai, 21 % craignent carrément de devoir licencier à cause des pénalités et 18 % redoutent même la faillite selon une enquête menée par le cabinet Vanson Bourne pour Veritas Technologies auprès de 900 entreprises de plus de 1 000 employés en Europe, aux Etats-Unis et en Asie.

6 réflexes à adopter : un guide pratique pour les TPE/PME
La CNIL et Bpifrance ont publié un guide pratique pour aider les petites structures à se mettre en conformité. Et la CNIL en a profité pour rappeler que, non, aucun couperet ne tombera le 26 mai, et que pour les TPE et PME dont le traitement des données personnelles ne sont pas le cœur de métier, « l’unique critère à prendre en compte est le volume ou la sensibilité des données traitées ». Toutefois, les entreprises ne se mettant pas au diapason rapidement risquent d’avoir à payer des pénalités : jusqu’à 4 % de leur chiffre d’affaires !
Comme l’explique Le Blog du Modérateur, le guide proposé résume 6 bons réflexes qui constituent une bonne protection des données personnelles d’une entreprise envers ses salariés :
1.Ne collecter que les données nécessaires
2.Être transparent et délivrer une information claire
3.Penser aux droits des personnes
4.Garder la maîtrise des données récoltées
5.Identifier les risques
6.Sécuriser les données

Une série de clauses juridiques à respecter dans chaque entreprise
Plus en détails, l’entreprise et son service RH, si tant est qu’elle en est un, devra donc respecter une série de clauses prévues par le RGPD :
Toute structure doit être en mesure de justifier la finalité du traitement des données de ses salariés
Notamment en cas de contrôle de la CNIL. Il y a évidemment la raison principale et la plus évidente – la gestion du personnel – mais l’entreprise devra également justifier de la collecte et du stockage des données concernant d’autres points. Gestion de la paie et des frais professionnels, accès aux outils et au réseau informatique, administration du personnel et de la formation, etc.

Identifier les fondements juridiques justifiant le traitement des données des salarié
Collecter et traiter les données des employés ne sera désormais licite que si l’entreprise peut en justifier le fondement juridique. En d’autres termes, cela signifie que chaque société devra être en mesure de se baser sur une clause juridique du RGPD. Elle pourra se baser par exemple sur : l’exécution du contrat de travail ; le respect d’une obligation légale (obligations sociales et fiscales de l’employeur); ou encore les intérêts légitimes poursuivis par l’employeur (sécuriser la gestion des ressources humaines, de la paie et du réseau informatique), sous réserve de ne pas contrevenir aux intérêts, libertés et droits fondamentaux des salariés. Rappelons que traiter les données personnelles des salariés avec leur seul consentement ne sera pas un motif juridique valable, étant donné la relation de subordination qu’il existe entre ce dernier et la direction de l’entreprise.

Déterminer la durée de stockage des données
L’employeur doit désormais tenir informer ses salariés et leur fournir un certain nombre d’informations relatives au traitement de leurs données personnelles, parmi lesquelles leur durée de conservation. Le RGPD impose en effet aux entreprises que la durée de conservation des données soit limitée au minimum nécessaire à la finalité du traitement des données. Le plus simple et évident, concernant les salarié, sera la conservation des informations jusqu’à 5 ans après le terme du contrat de travail, cette période couvrant les durées de prescription relatives aux contentieux potentiels entre l’employé et son employeur.

Identifier les destinataires internes et externes des données des salariés
Sont concernées dans le cadre du RGPD les données des salariés transmis par l’entreprise à des tiers comme des sous-traitants ou prestataires externes : paie, services externalisés... Pour les transferts de données hors Union Européenne, des mesures de protection devront être mises en place par l’entreprise ou le sous-traitant. Rappelons que ces tiers ont également à respecter les nouvelles obligations liées au RGPD.
Évaluer la nécessité de procéder à des analyses d’impact relatives à la protection des données (AIPD)
Une clause plus pointue a priori. Partant du principe que les salariés sont des « personnes vulnérables », une étude d’impact (AIPD) permettra d’évaluer si le traitement des données engendre un risque élevé pour les droits et libertés des salariés. Par exemple, une prise décision automatisée, une surveillance systématique des salariés ou encore si les données traitées sont sensibles ou hautement personnelles...

Prévoir des droits d’accès, de rectification et un « droit à l’oubli » pour les salariés
Comme pour toutes les données personnelles des individus dans leur ensemble, les salariés bénéficient du droit d’accès, de rectification et du droit à l’oubli concernant les données personnelles collectées les concernant. Sur le droit à l’oubli, l’employeur peut toutefois y déroger si les périodes de prescription relatives aux contentieux salariés ne sont pas encore écoulées.
Veiller à mettre régulièrement à jour les notes d’informations à destination des salariés sur les données personnelles
L’employeur a désormais l’obligation d’informer les salariés sur leurs droits (accès, modification, oubli), la finalité, le fondement juridique du traitement de leurs données, les destinataires de ces données, leur durée de conservation, etc. Une note d’information qui doit être mise en place (à faire circuler par mail, à afficher...) au plus tard le 25 mai 2018, date d’entrée en vigueur du RGPD.
Rappelons qu’en avril 2018, 67% des entreprises européennes estimaient qu’elles n’étaient pas prêtes pour le 25 mai. Espérons qu’elles le soient désormais, au risque de payer des pénalités en cas de contrôle de la CNIL.
Source : blog-emploi.com

retrouvez-nous

twitter

Partenaires

  • opcalia partenaire cdmg
  • cma cdmg
  • fongecif
  • CCI Guadeloupe
  • pole emploi cdmg
  • onisep partenaire cdmg
  • apel logo
  • région guadeloupe cdmg
  • agefiph partenaire
  • BGE CDMG
  • TELI CDMG
  • crij guadeloupe partenaire

le réseau

 

logo reseau cite des metiers