Le 25 mai 2018, le Règlement Général sur la Protection des Données (« RGPD » ou « GDPR » en anglais) entrera en vigueur dans l’ensemble de l’Union Européenne. Véritable tournant dans le traitement des données personnelles, le GDPR n’épargne pas les relations de travail, tant les traitements mis en œuvre dans le domaine des ressources humaines sont nombreux et sensibles (recrutement, évaluation, rémunération, formation, protection sociale…).
« GDPR » et ressources humaines : il est temps de s’en préoccuper
Dix points principaux sont à retenir pour s’approprier le contenu du GDPR, étant précisé que les États membres pourront adopter des règles spécifiques pour adapter ses dispositions à la protection des droits et libertés dans le cadre des relations de travail.
Intégrer les principes de responsabilité et de protection des données dès la conception
Le GDPR supprime la plupart des obligations déclaratives auprès des autorités de contrôle[1], mais crée en parallèle un principe de responsabilité particulièrement étendu. Les responsables de traitement deviennent les premiers garants de la protection des données qu’ils traitent : ils doivent dès la conception du traitement, puis à tout moment, mettre en œuvre les mesures techniques et organisationnelles nécessaires pour s’assurer de la conformité des traitements qu’ils mettent en œuvre et pouvoir le démontrer en cas de contrôle. En particulier, la sécurité des données doit être assurée en continu et prendre en compte les évolutions technologiques.
Dans cette optique, les entreprises peuvent utiliser un certain nombre d’outils de conformité: processus d’habilitation, certifications, labels, audit de conformité, codes de conduite d’associations ou organismes professionnels soumis aux autorités de contrôle, politiques internes, etc.
Tenir un registre des activités de traitement
Les entreprises comptant au moins 250 salariés devront tenir un registre de toutes leurs activités de traitement de données, comportant un ensemble d’informations précises (responsable, finalités, personnes concernées et données traitées, destinataires, transfert, durées, mesures de sécurité techniques et organisationnelles). La même obligation s’applique aux sous-traitants. La tenue du registre est également obligatoire pour toutes les entreprises qui procèdent à certains traitements de données, notamment lorsque le traitement est susceptible de comporter un risque pour les droits et les libertés des personnes concernées et qu’il n'est pas occasionnel.
S’assurer de la conformité des traitements de données mis en œuvre par des sous-traitants
Le GPDR impose un réexamen des contrats entre responsables de traitement et sous-traitants (exemple : prestataire de paie). Le contenu du contrat est en effet enrichi et doit préciser notamment la finalité du traitement, la durée de conservation des données et les obligations du sous-traitant. Plus généralement, les responsables de données doivent s’assurer que leurs sous-traitants présentent des garanties techniques et organisationnelles suffisantes au regard des exigences du règlement et de l’objectif de protection des données.
Etablir un inventaire des transferts de données personnelles hors Union Européenne
Les transferts de données personnelles hors UE restent envisageables vers des pays préalablement considérés par la Commission Européenne comme disposant d'un « niveau de protection adéquat » (exemple : dispositif du « Privacy Shield » permettant des transferts depuis l’Union Européenne vers les Etats-Unis). A défaut, ces transferts sont admis lorsque des garanties sont fournies au travers de Clauses Contractuelles Types (applicables aux transferts entre responsables de traitement et aux transferts entre responsables de traitement et sous-traitants) ou de Règles d’Entreprises Contraignantes (applicables aux transferts intra-groupe).
Les Clauses Contractuelles Types et le « Privacy Shield » faisant actuellement l’objet de recours en annulation respectivement devant la Cour Suprême Irlandaise et le Tribunal de l’Union Européenne, les entreprises devront rester vigilantes et à l’écoute des évolutions éventuelles.
Adapter les informations préalables
Le GDPR complète les informations à fournir obligatoirement aux salariés préalablement au traitement de leurs données personnelles. S’ajoutent ainsi aux informations déjà requises (finalité du traitement, catégories de données, destinataires des données, existence de transferts hors UE, etc.) de nouvelles mentions : la durée pendant laquelle les données personnelles seront conservées, le droit de retirer son consentement à tout moment, d’introduire une réclamation, etc.
Etudier la nécessité de recueillir le consentement des salariés
Les règles applicables à la licéité du traitement ne sont pas bouleversées par le GDPR : un traitement de données personnelles n’est licite que si la personne concernée a consenti au traitement de ses données personnelles ou si le traitement correspond à certains fondements juridiques autorisés, notamment l’exécution d’un contrat auquel la personne concernée est partie, le respect d’une obligation légale, l’« intérêt légitime » poursuivi par le responsable de traitement, etc.
Néanmoins, le GDPR durcit considérablement le régime du consentement : le consentement doit se manifester par une déclaration ou un acte positif clair (pas de consentement par défaut) et n’est pas valable en cas de « déséquilibre manifeste » entre la personne concernée et le responsable de traitement. La charge de la preuve repose sur le responsable de traitement. En outre, la personne concernée peut retirer son consentement à tout moment. Ces nouvelles règles imposent de reconsidérer l’ensemble des pratiques actuelles avant de réaliser un traitement de données personnelles.
Se préparer aux nouvelles demandes d’accès des salariés à leurs données personnelles
La réponse à une demande d’accès aux données personnelles traitées par l’entreprise devra être apportée dans un délai d’un mois (contre deux mois actuellement) suivant sa réception, prorogeable de deux mois (en cas de demandes complexes ou nombreuses). Si le responsable du traitement ne donne pas suite à la demande, il doit informer la personne concernée des motifs de son inaction, des voies et délais de recours ouverts dans un délai d'un mois suivant la réception de sa demande.
Notifier les violations de données personnelles
Toute violation de données personnelles (ex : programmes malveillants, hameçonnage, intrusions, etc.) doit être notifiée à la CNIL dans les 72 heures. L’information des personnes concernées est également requise si la violation est susceptible d’engendrer un « risque élevé pour leurs droits et libertés ». des procédures adéquates devront donc être prévues pour pouvoir faire face à une telle situation dans l’urgence.
Désigner un Délégué à la Protection des Données Personnelles (« Data Protection Officer »)
La désignation d’un DPO (ancien Correspondant Informatique et Liberté) est obligatoire pour les responsables de traitement ou leurs sous-traitants lorsqu’ils appartiennent au secteur public ou si leurs activités principales les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ou si leurs activités principales les amènent à traiter à grande échelle des données « sensibles » ou relatives à des condamnations.
Compte tenu des risques liés à la violation des dispositions du GDPR, cette désignation est toutefois recommandée même lorsqu’elle n’est pas obligatoire. Le DPO sera notamment chargé de conseiller le responsable de traitement (ou le sous-traitant) et les salariés en charge des traitements, de contrôler le respect du GDPR, du droit national et des règles internes en matière de protection des données personnelles (par des actions de conseil, de sensibilisation, d’information et d’audit). Il a également pour mission de coopérer avec les autorités de contrôle.
Faire face aux pouvoirs de sanction accrus des autorités nationales de contrôle
Le GDPR accroit considérablement le pouvoir de sanction des autorités de contrôle (la Cnil en France). Outre leur capacité à imposer des mesures correctrices (avertissement, interdiction du traitement, suspension du transfert de données hors UE, etc.), les autorités nationales peuvent désormais sanctionner d’une amende administrative pouvant atteindre 10.000.000 € ou 2% du chiffre d’affaires mondial de l’exercice précédent la violation de certaines dispositions du GDPR, notamment du principe général de responsabilité ou des obligations relatives à la sécurité des données, au contrôle des sous-traitants ou à la mise en place du registre des activités de traitement.
D’autres manquements plus graves concernant par exemple la licéité du traitement, le recueil du consentement, les droits des personnes (droit d’accès, de rectification, d’effacement…) et les principes applicables aux transferts de données peuvent donner lieu à des amendes administratives pouvant atteindre 20.000.000 € ou 4% du chiffre d’affaires mondial de l’exercice précédent.
Ces sanctions se substitueront à compter du 25 mai 2018 à celles actuellement prévues par la loi française, résultant en dernier lieu de la loi pour une République numérique[2].
[1] Une exception est prévue pour les « traitements à risque » (relatifs à des données « sensibles » ou reposant sur « l’évaluation systématique et approfondie d’aspects personnels des personnes physiques », c’est-à-dire notamment le profilage) : une étude d’impact doit être conduite préalablement à leurs mise en place. Si le responsable du traitement ne parvient pas à réduire le risque par des mesures appropriées, il devra consulter l’autorité de contrôle avant de mettre en œuvre le traitement, celle-ci pouvant le cas échéant s’opposer à sa mise en place.
[2] Loi n° 2016-1321 du 7 octobre 2016, portant à 3 millions d’euros le montant maximum des sanctions pécuniaires en cas de violation de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Guillaume Bordier, associé et Basile Moore, collaborateur, Capstan Avocats.
