Entrée en vigueur du RGPD : quelles conséquences pour le dialogue social dans les entreprises ?

Trois questions à  Myrtille Lapuelle, avocate, membre d’AvoSial, syndicat des avocats d’entreprise en droit social

Quel est l’enjeu du RGPD et comment les entreprises l’appréhendent-elles ?

Myrtille Lapuelle : Le RGPD reprend pour majeure partie des mesures qui étaient déjà présentes dans la directive de 1995. Un des changements significatifs du RGPD est le régime de sanctions. Ainsi, depuis le 25 mai 2018, en cas de non-respect des dispositions relatives au RGPD, des amendes pouvant aller jusqu’à 20 millions d’euros et 4% du chiffres d’affaires pourront être prononcées par la CNIL. De quoi faire frémir les employeurs. Pourtant parfois encore, les directions des ressources humaines, nos interlocuteurs privilégiés, ne sont pas toujours sensibilisés et pensent que ces questions relèvent exclusivement du service juridique ou du service informatique.

Au sein de l’entreprise, on assiste à une multiplication des flux de données personnelles pour des destinataires plus nombreux et des finalités entièrement nouvelles : auparavant, le badge servait à pointer les entrées et sorties. Il permet désormais de payer un repas au restaurant d’entreprise … qui par exemple ne contient pas de porc ou est sans gluten. Les employeurs ne réalisent pas toujours l’éventuelle sensibilité de ces données collectées en marge et décident de réaliser des statistiques pour telle ou telle raison, qu’elle soit valable ou pas. Or, il s’agit d’une finalité nouvelle, ce qui implique d’informer préalablement les salariés.

Cela entraine aussi des conséquences dans la stratégie sociale des entreprises, car le RGPD recouvre également les données en lien avec le CHSCT, la médecine du travail, etc. La protection des données personnelles va donc se révéler être un facteur clé pour la qualité du dialogue social.

 

Comment  les  entreprises  peuvent-elles  se  préparer  à  l’impact  du  RGPD  sur  la gestion des données ?

Myrtille Lapuelle :   Les entreprises disposent de nombreuses données qui peuvent concerner aussi bien les clients (externes) que les salariés (internes). Le RPGD supprime l’obligation de déclaration préalable à la CNIL, mais les entreprises de plus de 250 salariés, ou même en deçà de ce seuil, celles qui traitent des données sensibles par exemple, ont l’obligation de tenir un registre. Les entreprises nous sollicitent pour deux principales raisons : être accompagnées dans la définition d’une charte informatique (degré d’accessibilité de l’employeur ? process à mettre en œuvre ?) et sur la possibilité d’utiliser des données dans le cadre d’un licenciement. En la matière, la recevabilité de la preuve devant le conseil des prud’hommes a évolué : la jurisprudence prend désormais pleinement en considération les règles relatives à la protection des données personnelles. Par exemple, si le fichier de surveillance de messagerie des salariés n’a pas été déclaré à la CNIL, la preuve est généralement considérée comme illicite.

Bien entendu, face à l’entrée en vigueur du RGPD qui entraine une grande prise de conscience et parfois la crainte des employeurs face à la réglementation, les entreprises sont invitées à se faire assister. Notre profession d’avocat, en tant que défenseur et conseil des entreprises, est confrontée à une profonde mutation sur ce sujet.

 

L’ère du numérique a-t-elle une influence sur la profession d’avocat d’entreprise ?

Myrtille Lapuelle :  Auparavant, nous intervenions beaucoup en « pompiers », parce qu’un salarié licencié avait pu diffuser un certain nombre de données de l’entreprise, mettant à mal la réputation de cette dernière. Mais avec la prise de conscience croissante des employeurs, nous intervenons de plus en plus sur le terrain du conseil. Le numérique participe beaucoup à une tendance lourde de notre métier à s’orienter vers la prévention et le conseil des entreprises, avec la force que nous procure notre déontologie et notre approche juridique. Ce qui implique pour nous une exigence de formation permanente. AvoSial est en cela incontournable car beaucoup de questions vont encore se poser, comme la durée de conservation des données et les délais de prescription ou encore les possibles incompatibilités entre la loi Informatique et Libertés et le RGPD.