La protection des données personnelles appliquée aux ressources humaines

Le 25 mai 2018, entrera en vigueur le nouveau Règlement Européen sur la Protection des Données[1] (« RGPD »). Les ressources humaines ne sont peut-être pas les premières visées par les évolutions provoquées par le Règlement ; elles n’échapperont guère à son emprise pour autant. L’avènement du RGPD – et le sensible accroissement des sanctions encourues : autrefois plafonnées à 150.000 euros, elles sont significativement rehaussées à 3 millions d’euros dès 2016 par la Loi pour une République Numérique, et pourront désormais atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise (montant le plus élevé des deux) – va contraindre les employeurs à revoir l’ensemble de leur politique RH, des outils informatiques utilisés à la répartition des fonctions, en passant par la rédaction de leurs contrats de travail.

 

 

Rien d’illogique à que le RGPD embrasse les RH, tant ces services brassent un nombre considérable de données personnelles. De la procédure d’embauche, jusqu’au départ à la retraite, les données personnelles accumulées par l’employeur sont légion : état civil, adresse, image, revenus collaborateurs (et impôts donc revenus annexes également), maladie, performances, déplacements, activités syndicales voire politiques… Autant d’informations souvent sensibles que les services RH traitent en permanence dans des conditions de sécurité éventuellement précaires, et vont jusqu’à communiquer à des tiers extérieurs (comité d’entreprise, assureurs, gestionnaires de paye…). Autant de raison qui justifient les évolutions du droit existant.

 

 Le Règlement est inspiré du principe d’« accountability » (principe de responsabilité), lequel a un impact direct sur la gestion quotidienne des données par les RH. Le système de déclaration préalable à la CNIL disparaît ; il est remplacé par une série d’obligations pesant sur les entreprises (dont la CNIL contrôlera l’exécution). Il s’agit, en premier lieu, d’une obligation de prévention se déclinant en deux volets. D’abord, l’employeur doit se livrer à une « analyse d’impact » du système de traitement des données RH dites « sensibles » décrivant le fonctionnement et la finalité du système, les risques pour les droits et libertés des collaborateurs, et les mesures prises pour faire face à ces risques. Ensuite, la logique de « privacy par design » invite l’employeur à mettre en œuvre les « mesures techniques et organisationnelles appropriées » pour prévenir les risques.

 

Concrètement, la qualité du système d’information RH est challengée – le système doit se cantonner aux traitements des informations réellement nécessaires et interdire la collecte de données superflues, et permettre aux collaborateurs d’exercer les droits qui leur sont reconnus : rectification, suppression et portabilité. Quant aux dispositions opérationnelles, elles sont d’ordre varié. Il peut s’agir de forcer les entreprises à mieux identifier les personnes physiques ayant accès aux données collectées (ce qui obligera certainement à mieux définir les rôles entre RH et managers), ou à mieux encadrer les conditions dans lesquelles elles transfèrent les données à des tiers (ce qui exigent de revoir l’ensemble des contrats de prestations de services en lien avec les activités RH). Il s’agit, en second lieu, de donner une plus grande visibilité (donc d’en faciliter le contrôle) sur les traitements de données. La mesure phare en ce sens est l’obligation d’instituer un registre des traitements recensant l’ensemble des données collectées et traitées.

 

En miroir, ce sont les droits des collaborateurs sur leurs propres données qui sont sensiblement renforcés. Certes, leur consentement n’est pas nécessaire en principe à la collecte et au traitement des données. Le Règlement prévoit en effet qu’un traitement est licite s’il « est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ». Mais l’information dont les collaborateurs bénéficiaient jusqu’à présent est renforcée ; tout y passe, du responsable du traitement à la durée de la conservation (ou les critères de celle-ci), de la finalité du traitement au droit d’introduire une réclamation auprès de la CNIL. Point sensible s’il en est en matière de droit du travail, l’employeur doit être en mesure de prouver la délivrance de l’information : les clauses informatives du contrat de travail vont s’allonger.

 

 

L’information des collaborateurs n’est pas tout. Le règlement confirme – renforce – les droit d’accès et de rectification des collaborateurs et accroît sensiblement l’exigence de formalisation des procédures ; il créée le droit à la portabilité des données entendu comme le droit de « transmettre ces données à un autre responsable du traitement ».

 

In fine, l’entrée en vigueur du RGPD ajoute aux RH une nouvelle responsabilité tant à l’endroit des collaborateurs que de l’entreprise elle-même. Outre qu’une politique active en matière des données mettra l’entreprise à l’abri des sanctions pécuniaires, elle sera la condition sine qua none des démarches engagées en vue de la certification. L’obtention d’une certification s’inscrit dans une logique essentiellement probatoire pour l’entreprise. Délivrée, par des organismes agréés, aux entités en faisant la demande et se conformant aux référentiels de certification de leur secteur d’activité, elle permettra au certifié de démontrer son respect du Règlement.  

 

 

Par Déborah Attali , associée du département Droit social et  Gaëtan Cordier, associé du département IP/IT, cabinet Eversheds Sutherland