Le nouveau Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) qui entrera en vigueur le 25 mai 2018 dans les pays de l’Union Européenne aura un impact important sur le traitement des données personnelles. Dans le domaine des Ressources Humaines notamment, le RGPD s’imposera en matière de recrutement, d’évaluation, de rémunération et de suivi des salariés. Il s’agit d’un règlement européen qui pourra faire l’objet de mesures d’applications facultatives et propres à chaque pays.

La modification du régime de responsabilité en matière de données personnelles

Le RGPD a permis d’étendre le régime existant de la responsabilité en créant un nouveau principe. Le responsable du traitement des données est désormais tenu d’assurer la protection et la sécurité des données qu’il traite. Cette responsabilité s’organise par la mise en place de mesures techniques et structurelles visant à se conformer aux règles et à pouvoir le prouver de façon transparente en cas de contrôle. La sécurité des données est au cœur de ce dispositif. Les outils de conformité existants sont nombreux et varient selon la taille de l’entreprise et la nature du traitement, il peut s’agir de labels, d’audits de conformité, de politiques internes, de certifications, etc.

En cas d’échec, c’est à dire si une violation des données personnelles est constatée, cette dernière doit être notifiée à la CNIL dans un délai de 72h ainsi qu’aux personnes concernées par la violation de données.

Des obligations plus précises envers les salariés dans le traitement de leurs données

En amont du traitement des données personnelles des salariés, ces derniers doivent obligatoirement recevoir des informations sur les finalités du traitement, les catégories de données et leurs destinataires. Le RGPD ajoute de nouvelles mentions à ces informations qui étaient déjà requises quant à la durée de conservation des données, au droit de retrait et aux modalités de réclamation.

Par ailleurs, le RGPD durcit notoirement la notion de consentement. En effet, la licéité du traitement des données personnelles d’un salarié suppose son consentement préalable, ou à défaut de celui-ci le respect d’une obligation légale ou le fondement textuel d’un contrat. Mais avec les nouvelles règles, le consentement devra être matérialisé par une déclaration ou un « acte positif clair ». C’est à dire que le consentement ne peut plus être présumé et ne peut non plus résulter d’un « déséquilibre manifeste » entre le responsable du traitement et la personne concernée. Ce consentement peut encore être rétracté à tout moment suivant la volonté de la personne concernée.

Enfin, dans le cadre du droit d’accès des personnes aux données les concernant, les entreprises seront désormais tenues de répondre dans un délai d’un mois (contre deux avant la réforme) aux requêtes d’accès. Ce délai s’ouvre à la réception de la requête et peut être reconduit pour deux mois si les demandes sont complexes ou multiples. Le responsable du traitement est responsable des suites de cette requête et se doit d’informer le salarié des voies et délais de recours s’il n’y donne pas de suite favorable.

De nouvelles règles à observer pour se mettre en conformité vis à vis des autorités de contrôle

Toutes les entreprises de plus de 250 salariés et leurs sous-traitants devront désormais tenir à jour un registre compilant l’ensemble des activités de traitement des données personnelles en mentionnant également les responsables, la finalité, les personnes concernées, la durée et les mesures de sécurités afférents au dit traitement. Cette obligation doit également être respectée lorsque le traitement de données peut comporter un risque pour les droits et libertés des personnes concernées en raison de son caractère. Ce registre doit permettre aux autorités compétentes et aux régulateurs de procéder à des mesures de contrôle et de surveillance du bon respect du RGPD.

Dans la logique de cette obligation, toutes les entreprises seront également tenues de répertorier et d’inventorier les données personnelles transférées à des filiales ou des sous-traitants domiciliés en dehors de l’Union Européenne. En effet, les pays de domiciliation des tiers receveurs de données personnelles doivent respecter des règles minimales de protection des données compatibles avec les exigences de l’Union Européenne (Privacy Shield par exemple).

Pour les entreprises du secteur public et celles organisant un suivi de personnes à grande échelle, il peut être nécessaire de nommer un « Officier de Protection des Données » (DPO en anglais), ce qui est le nouveau nom pour les Correspondants Informatique et Liberté. Il est le référent en matière de conseil et de contrôle en interne et permet une coopération plus fluide avec les autorités de contrôle.