Loading...
Loading...

Le Nouveau règlement européen (GDPR) sur la protection des données et le traitement des données des ressources humaines RH

Accueil / Droit des Données personnelles / Le Nouveau règlement européen (GDPR) sur la protection des données et le traitement des données des ressources humaines RH

Le GDPR aura des impacts significatifs pour toutes les entreprises collectant et manipulant des données à caractère personnel et sensible, notamment pour le département des RH. En effet, le cycle de vie en RH du salarié se déroule en 5 étapes clés de la candidature au départ.

L’employeur est amené à collecter, traiter et stocker de grande quantité de données à caractère personnel :

Candidature
  • Les contrats liant l’entreprise à des organismes de recrutement externe sont-ils conformes aux attendus réglementaires ?
  • Quid des données personnelles des candidats non retenus ? (suppression ou archivage)
  • Compte-rendu des entretiens d’embauche mis à la disposition des candidats en cas de demande ?
Embauche
  • Registre des données à caractère personnel et sensible des données collectées + traitements apportés disponibles dans l’entreprise ?
  • Information des employés de leurs droits (accès aux données, rectification, suppressions) lors de la collecte de données ?
Vie du contrat
  • Sécurité et confidentialité des données des salariés garantie par des moyens physiques et informatiques appropriés ?
  • Habilitations d’accès aux données personnelles contrôlées ?
  • Possibilité de mise en œuvre d’une demande d’accès, de rectification ou de suppression de données personnelles ?
Départ
  • Suppression dans le respect de la durée légale de rétention des données des anciens employés ?
  • Suppression effective pour les données numériques et sous format papier ?
  • Accessibilité

Source : gdpr-2018.fr

Afin de répondre à ces questions, il est important d’identifier les données transmises tout au long du cycle de vie du salarié.

Nouveau règlement européen

Afin de pouvoir établir un dispositif de protection des données conformes aux exigences du RGPD, il est donc indispensable d’identifier son périmètre. A ce titre, une cartographie des données collectées et traitées doit être réalisée.

Une fois cette cartographie établie, des mesures doivent être mises en place afin de procéder à la mise en conformité des pratiques de votre entreprise.

A ce sujet, il convient de souligner que l’article 88 du RGPD prévoit que :

1. Les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail, aux fins, notamment, du recrutement, de l’exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l’employeur ou au client, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l’emploi, individuellement ou collectivement, ainsi qu’aux fins de la résiliation de la relation de travail. 
2. Ces règles comprennent des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées, en accordant une attention particulière à la transparence du traitement, au transfert de données à caractère personnel au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail.
3. Chaque État membre notifie à la Commission les dispositions légales qu’il adopte en vertu du paragraphe 1 au plus tard le 25 mai 2018 et, sans tarder, toute modification ultérieure les concernant.

Ainsi, l’information des salariés doit être renforcée, notamment sur la durée de conservation des données, les finalités du traitement, les cas de recours auprès de la CNIL.

Cependant, il convient de se conformer aux différentes exigences du RGPD qui devront s’appliquer pour tout type de traitement automatisé de données.

Différentes mesures peuvent ainsi être mise en place et devront être adaptées au cas par cas par chaque entreprise.

I – Le traitement des données au moment du recrutement

Dans le cadre d’un recrutement, les données collectées doivent uniquement servir à évaluer la capacité du candidat à occuper l’emploi proposé. Il est fait interdiction de demander à un candidat à l’embauche son n° de sécurité sociale, ainsi que de collecter des informations sur ses parents, sa fratrie, ses opinions politiques ou son appartenance syndicales. Il est interdit de collecter et de conserver des données personnelles qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales, les informations relatives à la santé ou à la vie sexuelle des personnes. L’accord exprès exigé par la loi qui doit être recueilli par écrit ne saurait, à lui seul, justifier la collecte de telles données si ces dernières sont dépourvues de lien direct et nécessaire avec l’emploi proposé. Aussi de telles informations ne peuvent-elles être collectées que, dans certains cas, lorsqu’elles sont dûment justifiées par la spécificité du poste à pourvoir.

A la suite du recrutement et une fois que l’évaluation des candidats a été réalisée, les informations qui sont recueillis peuvent être stockées dans une base de données spécifiquement créée à cet effet. La CNIL, en tant que garant des libertés des salariés, doit s’assurer du respect de leurs droits et de la bonne application des dispositions législatives et réglementaires.

Actuellement, les mises en place de données doivent être déclarées auprès de la CNIL, à défaut, le responsable du traitement risque une peine de 5 ans d’emprisonnement et de 300 000 euros d’amende. La sanction est la même si l’accès à ces bases de données n’est pas sécurisé ou si l’usage de ces données est détourné. Ces données doivent être transmises de manière confidentielle et l’accord du salarié doit être expressément recueilli.

Le candidat est en droit de s’opposer à la collecte de ses données personnelles. Il dispose également d’un droit de rectification.

S’il accepte que ses données soient recueillies, ces dernières sont sauvegardées pendant une durée de deux ans. A défaut, le responsable du traitement risque une peine de 5 ans d’emprisonnement et de 300 000 euros d’amende (art. 226-20 du Code Pénal). Ces mêmes données peuvent être conservées 5 ans si cela est justifié pour un contentieux.

Les candidats et les salariés doivent pouvoir avoir la faculté de consulter dans un délai raisonnable l’ensemble des informations collectées ainsi que les évaluations qui ont pu être pratiquées. La CNIL recommande que la communication des informations soit réalisée par écrit.

IMPORTANT : A partir du 25 mai 2018, cette obligation déclarative sera supprimée et remplacée par la tenue d’un registre interne des traitements de données à caractère personnel.

II – Le traitement des données au moment de l’embauche et du contrat de travail du salarié

Documentation

Il conviendra de lister l’ensemble des données personnelles collectées ainsi que les traitements, transferts, durée et méthode de stockage associées et définir le dispositif de protection des données.

Une fois embauché, l’employeur peut collecter des informations complémentaires notamment des informations utiles à la gestion administrative du personnel, à l’organisation du travail et à l’action sociale prise en charge l’employeur.

Obligations modifiées par le RGPD.

  • La procédure de déclaration à la CNIL disparaît à compter du 25 mai 2018.
  • Cette déclaration est remplacée par l’obligation pour l’entreprise de tenir un registre interne des traitements de données à caractère personnel qu’elles mettent en œuvre, et ce registre devra être tenu à disposition de la CNIL en cas de contrôle.

Dans les entreprises d’au moins 250 salariés : obligation de tenue d’un registre détaillant les traitements qui relèvent de leur responsabilité. Les sous-traitants sont également soumis à cette obligation. Ce registre doit être tenu à la disposition de la CNIL.

Infos à fournir pour le responsable de traitement :

  • Nom et coordonnées des co-responsables du traitement et du DPO
  • Finalités du traitement
  • Description des catégories de personnes concernées et de données à caractère personnel
  • Catégories de destinataires
  • Transferts de données à caractère personnel et les documents attestant de l’existence de garanties appropriées
  • Délais de conservation
  • Description générale des mesures de sécurité structurelles et techniques

Infos à fournir pour le sous-traitant :

  • Nom et coordonnées du sous-traitant et de son responsable du traitement et du délégué à la protection des données
  • Catégories de traitements effectués pour le compte de chaque responsable du traitement
  • Transferts de données à caractère personnel et documents attestant de l’existence de garanties appropriées
  • Description générale des mesures de sécurité structurelles et techniques

L’entreprise pourra également mettre en place une politique générale de protection des données.

Information des candidats et employés

Lors de la collecte des données, les candidats doivent recevoir différentes informations :

  • L’identité du responsable du traitement
  • Les finalités du traitement
  • Le caractère obligatoire ou facultatif des réponses
  • Les conséquences à leur égard d’un défaut de réponse
  • Les destinataires des informations
  • Les conditions d’exercice de leurs droits d’opposition, d’accès et de rectification

Pour répondre aux exigences du RGPD, l’employeur devra revoir les clauses des documents de collecte de données personnelles (règlement intérieur, contrat de travail) afin d’informer les candidats et employés de leurs droits et des traitements qui seront apportés à leurs données.

Sécurité et gestion des habilitations

L’employeur devra mettre en œuvre des moyens de sécurité physique et numérique ainsi qu’un dispositif de gestion des accès aux données personnelles. A ce titre, il disposera d’une palette d’outils : registre des habilitations d’accès aux données personnelles, procédures documentées de mise en sécurité des données.

Dispositions législatives. L’accès est limité : les personnes pouvant accéder aux informations d’un candidat sont celles qui interviennent dans le processus de recrutement, ainsi que les administrations informées de l’embauche tel que l’assurance chômage, maladie, retraite, mutuelle…). Les DP ont également accès aux donnés qui figurent dans le registre du personnel. Cet accès doit être contrôlé : l’employeur doit en effet sécuriser les informations.

Suppression des données

Il convient de définir les durées de rétention pour chaque type de données et définir les procédures de suppression de ces données.

Des dispositions législatives et réglementaires existent en ce sens pour certaines données.

Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de conserver les données : elles doivent être supprimées. La durée de conservation des données doit impérativement être définie. Selon les objectifs et la finalité poursuivie, les durées de conservation varient.

En dehors des cas dans lesquels il existe une obligation d’archivage, les données ne présentant plus d’intérêt doivent être supprimées sans délai.

Si une procédure de suppression automatique est prévue, le responsable du fichier doit s’assurer de la suppression effective des données.

Formations des collaborateurs

L’employeur devra mettre en place un plan de formation des employés à la thématique « Protection des données », en collaborant avec le délégué à la protection des données.

A titre de preuve, il pourra tenir un registre de suivi des formations suivies par employé.

Exemples de traitements de données

Les annuaires d’entreprise : Nécessité d’informer les salariés + déclaration de conformité en référence à la norme n°46.

Remarque : Tout système de contrôle et de suivi de l’activité des salariés doit, au préalable, faire l’objet d’une information-consultation des représentants du personnel, d’une information de chaque salarié concerné ainsi que d’une déclaration auprès de la CNIL :

La vidéosurveillance sur les lieux de travail :

  • Si le dispositif concerne un lieu public : seule une autorisation préfectorale est nécessaire
  • Si le dispositif concerne un lieu privé : déclaration auprès de la CNIL nécessaire.
  • Nécessité d’une analyse préalable des risques + respect du principe de proportionnalité
  • Obligation d’information des salariés, visiteurs + consultation des représentants du personnel
  • Visualisation des images restreinte aux seuls destinataires habilités
  • Durée de conservation des images : 1 mois maximum.

L’utilisation du téléphone au travail :

  • Lorsque des relevés sont établis, les 4 derniers chiffres doivent être occultés.
  • Durée de conservation des données : 1 an maximum
  • Enregistrements téléphoniques :
    • Réalisés à des fins de formation du personnel : conservation maximale de 6 mois
    • Réalisés à des fins de preuve en matière bancaire : conservation maximale de 5 ans

Les dispositifs de géolocalisation :

  • Ne doivent pas conduire à un contrôle permanent de l’employé concerné.
  • La CNIL recommande la désactivation du système en dehors des horaires de travail.

Les dispositifs de géolocalisation :

  • Ne doivent pas conduire à un contrôle permanent de l’employé concerné.
  • La CNIL recommande la désactivation du système en dehors des horaires de travail.

L’utilisation de badges sur le lieu de travail :

  • Déclaration préalable à la CNIL sauf désignation d’un CIL.

III – Le traitement des données au moment de la rupture du contrat de travail

Les document émis ou reçus par une entreprise doivent être conservés pendant certaines durées minimales :

  • Bulletin de paie (double papier ou sous forme électronique) : 5 ans
  • Document concernant les contrats de travail : 5 ans
  • Lettre de notification du licenciement : 5 ans à compter de la fin du contrat
  • Reçu pour solde de tout compte : 5 ans à compter de l’expiration du contrat

 

Focus : Profilage.

D’après l’article 22,1 du RGPD, la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, lorsque celui-ci produit des effets juridiques à son égard ou l’affecte de manière significative.

Les traitements concernés sont ceux qui permettent d’évaluer des aspects de la personnalité de l’intéressé en vue d’analyser ou prédire des « éléments » tels que le rendement de la personne concernée, sa situation économique, sa santé, ses préférences, ses intérêts, sa fiabilité, son comportement, sa localisation et ses déplacements.

Des dérogations sont prévues, notamment en cas de consentement de l’intéressé ou si la décision est nécessaire à la conclusion ou l’exécution d’un contrat. [i]

[i] Sources :