Entrée en vigueur du RGPD : une responsabilité accrue pour les entreprises

Ecran_cadenasL’entrée en vigueur du RGPD suscite une certaine inquiétude au sein des DRH. D’une part, parce que ce règlement commun à tous les États membres de l’Union européenne va nécessiter, sur le plan pratique, la mise en œuvre d’un certain nombre d’actions au sein des services RH ; de l’autre, parce que la responsabilité de l’entreprise vis-à-vis de ses collaborateurs – mais aussi dans le choix de ses prestataires – va se trouver sensiblement accrue. En matière de protection des données, le temps de « l’autocontrôle » est venu.

 

Les changements majeurs apportés par le RGPD

Depuis de nombreuses années déjà, la gestion et la protection des données personnelles est encadrée par la loi informatique et liberté. Sous cet angle, le RGPD ne constitue pas un « big-bang », l’entreprise étant habituée à se mettre en conformité avec des évolutions réglementaires nombreuses.

Première évolution apportée par le RGPD, les organisations vont disposer d’un cadre général de protection des données personnelles commun entre plusieurs états. Cette harmonisation intéressera au premier chef les groupes implantés dans plusieurs pays d’Europe, en permettant une gestion rationnelle et unifiée des données et de leur traitement.

Par ailleurs, et cela représente sans aucun doute un progrès, les dispositifs mis en place devraient être beaucoup plus lisibles. La mise en œuvre du RGPD va impliquer, pour les entreprises, de se doter d’une cartographie des données et des traitements opérés sur ces données, ainsi que d’un registre permettant de prouver la conformité de l’organisation.

Il convient aussi de noter l’obligation, pour les entreprises, de recueillir de façon explicite et non équivoque (art 7) le consentement préalable des personnes pour les traitements des données les concernant. Ce point soulève un certain nombre de questions, notamment vis-à-vis des candidats : conformément à l’article 5, il s’agit de ne traiter que les données nécessaires à l’objectif poursuivi, par exemple l’éventualité d’un recrutement.

Enfin, si les grands principes de protection des données seront maintenus (conditions de licéité du traitement, finalité du traitement, proportionnalité des données, durée de conservation limitée des données), les entreprises n’auront plus à effectuer de déclaration préalable auprès de la CNIL. Même si certaines démarches resteront nécessaires pour le traitement de données sensibles, par exemple relatives à la santé.

 

Le temps de l’autocontrôle pour les entreprises

La fin des déclarations préalables auprès de la CNIL marque l’avènement d’un nouveau système d’autocontrôle continu et de « compliance » (conformité). Ce principe est porteur d’une responsabilisation des acteurs du traitement des données, qu’il s’agisse des entreprises ou de ses sous-traitants : éditeurs de logiciel de paie, de solutions de gestion RH, organismes de formation, etc.

Actrices de leur mise en conformité au RGPD, les entreprises devront pouvoir justifier celle-ci à tout moment via une documentation fournie et à jour. Il leur faudra donc procéder elles-mêmes à l’évaluation de la compatibilité entre le traitement de données envisagé et les nouvelles exigences, et documenter le mieux possible leur décision de mettre en place un traitement automatisé des données personnelles de leurs salariés.

Pour les aider dans cette tâche, certaines organisations devront s’être dotées d’un délégué à la protection des données (DPO ou Data Protection Officer). Il est obligatoire de désigner un DPO dans les cas suivants :

  • pour les organismes publics (ou assimilés, c’est-à-dire toute société investie d’une autorité publique ou d’un service public, comme les transports), et ce quelle que soit la nature des données traitées ;
  • quand le cœur de métier de celui qui possède les données (ou du sous-traitant qui les traite) exige un traitement des données à large échelle et avec un suivi systématique et régulier des individus concernés ou sur des données très sensibles (médicales, criminelles, religieuses, génétiques…).

 

Concrètement, la notion de « cœur de métier » renvoie aux organisations qui ne pourraient pas exercer leur métier sans un traitement de données (par exemple un hôpital). Pour nombre d’entreprises, il est difficile d’évaluer si leur « activité de base » les fait effectivement entrer dans ces critères. Le G29 recommande dans tous les cas aux organisations de réaliser une étude documentée pour déterminer s’ils doivent, ou pas, désigner obligatoirement un DPO.

Le cas échéant, cette désignation s’effectuera selon des critères stricts. S’il peut s’agir d’un salarié de l’entreprise ou d’un prestataire extérieur, il faudra cependant veiller à éviter tout conflit d’intérêts dans le cadre de la relation employé/employeur. On peut relever l’obligation qui lui incombera, parmi ses nombreuses responsabilités, de réaliser des études d’impact sur la vie privée avec analyse des risques (art 35).

 

Garantie de sécurité et de confidentialité et choix d’un prestataire

C’est là un élément central du RGPD : le responsable du traitement des données doit déterminer et mettre en place les mesures « techniques et organisationnelles » nécessaires pour assurer la confidentialité des données personnelles des employés afin d’éviter toute divulgation (art. 32).

Que les données concernent des collaborateurs ou des candidats, tout nouveau traitement va supposer, en amont, une logique de preuve de la conformité dans la conception des solutions. Qu’il s’agisse d’éléments traditionnellement traités via le SIRH (administration du personnel, recrutement, emplois et compétences, évaluation…), de domaines comme la gestion des temps ou des absences et congés, il faut noter que l’entreprise ne pourra pas se défausser de sa responsabilité sur son prestataire en cas de non-conformité des traitements. En effet, juridiquement, le responsable de traitement est « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme, qui seul ou conjointement avec d’autres détermine les finalités et les moyens du traitement des données à caractère personnel » (art 4) : autrement dit, l’entreprise commanditaire.

Dans ce contexte, le choix d’un prestataire RH va demander une certaine vigilance. C’est au DPO de l’entreprise que reviendra de vérifier que ce dernier répond bien aux exigences du RGPD, et que les traitements de données seront neutres et appropriés. L’entreprise ne pourra se prémunir qu’en se munissant d’éléments de preuve des engagements du prestataire dans ce sens. On peut d’ailleurs prédire l’apparition, dans un avenir proche, de certifications au RGPD pour les éditeurs de solutions SIRH, de gestion des temps ou de formation.

En attendant celles-ci, la sagesse commande de faire appel à des acteurs reconnus sur leurs marchés, disposant d’une expérience probante dans leurs domaines (SIRH, paie, formation, gestion des temps…) et habitués à se mettre régulièrement à jour sur les questions de compliance en s’appuyant sur une veille juridique sérieuse.

 

Parce qu’il confère de nombreux nouveaux droits aux collaborateurs, et un plus grand pouvoir sur le contrôle de leurs données, le RGPD représente un défi pour les organisations et confère un nouveau rôle à la fonction RH. Les DRH doivent se tenir prêtes à traiter de nouvelles demandes telles que les demandes d’accès, le droit de rectification des données ou le droit à l’oubli. Faire face à ces nouvelles obligations implique la mise en place de systèmes bien lisibles, avec des solutions élaborées par des prestataires fiables et experts.

Partagez cet article sur :Tweet about this on TwitterShare on Facebook0Share on Google+0Share on LinkedIn0
 

Auteur : Elodie.B

Laisser un Commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

? Le temps imparti est dépassé. Merci de saisir de nouveau le CAPTCHA.