Protection des données personnelles (RGPD) : ce que les services RH doivent anticiper

Ce n’est plus un secret pour personne, le RGPD (Règlement général pour la protection des données) entrera en vigueur le 25 mai 2018.

A cette occasion, le droit français est modifié par le Parlement ce qui affecte particulièrement les entreprises qui traitent des données de santé. Mais pas seulement ! Tous les traitements de données personnelles sont concernés par ce Règlement européen et doivent se préparer en amont. En effet, toute violation du droit pourra entrainer la condamnation à payer une amende importante variable selon les faits reconnus.

Les services de ressources humaines (RH) d’entreprises sont directement concernés car ils sont amenés à collecter et traiter de nombreuses données à caractère personnel. Voici un premier tour d’horizon des principales dispositions que devront prendre les services RH.

Les principales mesures à prévoir dans les services RH

Les services RH des entreprises collectent des données personnelles depuis la phase de recrutement d’un salarié, jusqu’à son départ. Plusieurs étapes sont à identifier par les entreprises afin de préparer au mieux leur adaptation au RGPD.

Première étape : préparation

Etablir la liste les données personnelles récoltées. Il s’agit de dresser la chronologie de la récolte des données et la nature de ces dernières. La candidature d’une personne donne ainsi lieu à la récolte de son CV, de sa lettre de motivation, de son email, de ses éventuels retours et comptes-rendus. Son embauche puis sa présence dans l’entreprise génèrent de nombreuses données personnelles : ses coordonnées (logement, banque, sécurité sociale, situation de famille…), ses données de paie (notamment présentes dans la déclaration de données sociales), son dossier de suivi dans l’entreprise (formations, évaluations…), et les documents existant lors de son éventuel départ (attestation pôle emploi, attestation de travail, courriers éventuels). Toutes ces données, si elles sont numérisées, entrent dans le cadre du RGPD et doivent être identifiées pour faire l’objet d’une protection particulière.

L’entreprise doit impérativement tenir un registre à jour de tous les traitements à mettre en oeuvre.

Deuxième étape : planification

Assurer l’information de toutes les personnes auprès desquelles sont récoltées les données (candidats et salariés). L’entreprise doit informer l’individu de l’identité et des coordonnées du responsable du traitement (et si besoin de son représentant), des coordonnées du délégué à la protection des données (s’il existe dans l’entreprise), des finalités de traitement et de leur base juridique, de l’identité des destinataires ou catégories de destinataires des données à caractère personnel et, le cas échéant, l’intention de transférer les données vers un pays tiers.

Ce n’est pas tout, car le Règlement est très clair, une fois les données obtenues, des informations supplémentaires doivent être délivrées telles que : la durée de conservation des données ou les critères utilisés pour déterminer cette durée, le droit d’accès aux données, de rectification et d’effacement, le droit de déposer une réclamation auprès d’une autorité de contrôle.

Troisième étape (cruciale) : application

Réviser toutes les clauses relatives à la collecte des données personnelles, qu’elles soient présentes dans le règlement intérieur, le contrat de travail, ou dans un autre document spécifique. Il pourrait être judicieux de rédiger un document unique détaillant l’ensemble des dispositions relatives aux données personnelles dans l’entreprises à faire signer par chaque salarié. Le règlement intérieur paraît, à ce titre, adéquat.

Quatrième étape : sécurisation

Les traitements de données personnelles mis en oeuvre par les services RH restent soumis aux mêmes dispositions que tout autre traitement. Des mesures de sécurité doivent donc être prévues pour assurer la protection des données stockées. Des politiques de gestion d’habilitations, de conservation des données, de formations du personnel, doivent être mises en oeuvre en ce sens.

RH et données personnelles : vers un renforcement spécifique en droit français ?

Le RGPD édicte toutes les dispositions à respecter dès lors qu’un traitement automatisé de données à caractère personnel est mis en oeuvre. Toutes les entreprises doivent donc se conformer au Règlement, quel que soit le service, les ressources humaines sont directement concernées par cela car elles traitent nécessairement des données personnelles diverses, liées à chacun des salariés dans l’entreprise.

L’article 88 du RGPD précise que les autorités nationales peuvent proposer des mesures spécifiques dans le cadre des traitements de données dans le cadre des relations de travail. Plus précisément, il est question de tout

traitement des données à caractère personnel des employés dans le cadre des relations de travail, aux fins, notamment, du recrutement, de l’exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l’employeur ou au client, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l’emploi, individuellement ou collectivement, ainsi qu’aux fins de la résiliation de la relation de travail

D’après la lecture du projet de loi relatif à la protection des données personnelles, les seules dispositions spécifiques prévues en droit français concernent les traitements de données biométriques qui contrôlent « l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés ou aux agents« . Pour réaliser un tel traitement, l’entreprise devra nécessairement être conforme aux règlements types proposés par la CNIL.

On le comprend, les services RH ont un travail conséquent à mener pour se conformer au RGPD d’ici le 25 mai 2018. Les compétences impliquées sont aussi bien juridique que techniques, notamment lorsqu’il s’agit de la sécurisation des données. Même si un seuil de tolérance sera probablement accepté les premiers mois d’application du nouveau Règlement, tous les services RH devraient s’atteler rapidement à leur mise en conformité.

Art. 6 RGPD :

1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques…

Art. 12 RGPD :

1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens…

Art. 13 RGPD :

1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement b) le cas échéant, les coordonnées du délégué à la protection des données ;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

[…]

e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; et

f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, […] ;

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes […] :

a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

b) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;

c) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;

d) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;

e) des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données…

mm
A propos Leo Guittet 160 Articles
Juriste spécialisé dans les données de santé à Tripalio depuis 2014, j'écris quotidiennement des articles sur le thème de la protection sociale collective et des données de santé. Actuellement en thèse CIFRE sur le sujet de l'accès aux données de santé en France, je suis intéressé par tous les sujets qui touchent aux avancées technologiques et juridiques sur ce thème.

3 Trackbacks & Pingbacks

  1. Protection des données personnelles (RGPD) : ce que les services … – Sécurité RGPD ✅ Informatique tarbes & audit: ✅ contact 06.17.29.87.07 ✅ Audit sécurité Informatique hautes -pyrenees tarbes -pau-auch-pyrenees-gascogne ✅
  2. Le RGPD est bien parti pour manquer sa cible : quelles seront ses … – Sécurité RGPD ✅ Informatique tarbes & audit: ✅ contact 06.17.29.87.07 ✅ Audit sécurité Informatique hautes -pyrenees tarbes -pau-auch-pyrenees-gascogne ✅
  3. RGPD : 10 questions pour comprendre le nouveau règlement sur la … – Sécurité RGPD ✅ Informatique tarbes & audit: ✅ contact 06.17.29.87.07 ✅ Audit sécurité Informatique hautes -pyrenees tarbes -pau-auch-pyrenees-gascogne ✅

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Hey, salut toi le lecteur de Décider et Entreprendre.


Ça fait maintenant deux ans que D&E existe et continue de se développer. Et le tout, sans jamais avoir reçu de subvention. Alors depuis maintenant un mois, D&E a décidé et entrepris d'intégrer quelques publicités sur sa homepage, mais aussi au cœur de ses articles. Car D&E rémunère ses équipes.


Derrière D&E se cachent des journalistes, des développeurs informatiques, des responsables communications, mais aussi des éditorialistes de passage. Tout ce petit monde travaille d'arrache-pied pour ramener de l'information fraîche, des points de vues tranchés, mais argumentés et autres gaudrioles à l'un des seuls médias en ligne complètement indépendant, à la ligne éditoriale libre, mais aussi en plein développement.


Alors, voilà, aujourd'hui, cher lecteur, on te demande un petit geste de pas grand-chose. Non, range ton portefeuille (bien que l'on accepte aussi les dons). Non, on te demande juste de désactiver ton bloqueur de pub (Ad-Block, AdThwart, Webmail Ad blocker, etc) le temps de ta navigation sur notre site ou de mettre une exception de blocage qui concerne D&E.


Le simple fait d'afficher les pubs sur notre site nous permet de rémunérer nos « incroyables » équipes. Promis, les publicités ne sont pas invasives ni agressives. On peut même les cacher si on veut (avec la petite croix dessus).


Ça nous ferait vraiment plaisir et ça permettrait qu'on s’achète notre table de ping-pong continue à écrire librement, à titiller les puissances en place, mais aussi à proposer d'autres pistes de réflexion sur des sujets habituellement traités par les médias subventionnés.


Un petit geste pour toi, mais un grand pas pour Décider & Entreprendre.


Merci à toi, ô lecteur de D&E. Et bonne lecture.

Lire les articles précédents :
Pour la Cour des comptes, les douanes collectent des impôts inutiles

Déjà dans le viseur de la Cour des comptes il y a quatre ans mais aussi en 2017, les douaniers...

Fermer