RGPD : entrée en vigueur au 25 Mai 2018
Le Règlement Général Européen sur la Protection des Données (RGPD) a été adopté au niveau de l’Union Européenne et entrera en application sans qu’une loi nationale ne soit nécessaire. Il est à noter toutefois qu’un projet de loi destiné à mettre le droit français en conformité avec le RGPD est actuellement en cours d’adoption.
Le RGPD vient ainsi remplacer la loi dite « Informatique et Libertés » applicable depuis 1978.
En tant qu’entrepreneur et employeur, vous vous interrogez probablement sur la signification de cette règlementation et les nouvelles obligations à votre charge.
Ce règlement a été élaboré :
Pour octroyer aux citoyens le droit de contrôler les usages de leurs données privées dans toutes les activités non personnelles (donc toutes les activités dans le cadre administratif, associatif, économiques… pour le compte d’une personne morale)
Pour réguler l’utilisation des données privées par les acteurs Internet majeurs tels que Google, Amazon, Facebook,…
Est concernée toute personne morale qui met en œuvre un (ou plusieurs) traitement(s) manipulant des données à caractère personnel.
En effet, le règlement « s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».
Par « données personnelles », il convient notamment d’entendre l’identification d’une personne par :
Un nom ;
Un numéro d’identification ;
Des données de localisation ;
Un identifiant ;
Un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle et sociale.
En application de ce texte, les règles sur la protection des données personnelles seront donc modifiées à compter du 25 Mai 2018.
Des nouveaux droits pour le citoyen :
L’objectif est avant tout de renforcer la protection des individus et les droits des personnes physiques, et donc des salariés, sur leurs données à caractère personnel (tels que le droit à l’information, le droit d’accès aux données, le droit de rectification de ces données) et à créer de nouveaux droits comme le droit à l’effacement ou à la portabilité des données.
Le RGDP vise également à créer de nouvelles obligations pour les responsables de traitement, notamment en ce qui concerne l’information à fournir en cas de perte ou de violation des données personnelles. Ces nouvelles obligations concernent également les employeurs.
Pour ce faire, le règlement renforce nettement les obligations en matière de transparence et de traçabilité à la charge des responsables de traitement : ils devront évaluer les risques portés par le traitement qu’ils ont mis ou envisagent de mettre en œuvre et devront tenir, sauf exceptions, un registre des traitements de données indiquant notamment la finalité poursuivie.
Ces obligations s’imposent à tous les organismes, quelle que soit leur taille.
Le RGPD alourdit en outre la sanction encourue en cas de non-respect de ses règles, avec une nette augmentation du plafond des amendes pouvant être infligées par les autorités de régulation – la CNIL en France. Pour les entreprises, par exemple, selon la catégorie de l’infraction, l’amende sera comprise entre 2 et 4 % du chiffre d’affaires.
Cette nouvelle règlementation touche notamment les aspects Paie et RH.
Depuis le recrutement d’un salarié jusqu’à son départ de l’entreprise, le service Ressources Humaines traite des données personnelles : paie mensuelle, entretien d’évaluation du collaborateur, parcours de formation, gestion administrative, stockage des CV, etc.
En tant qu’employeur notamment, il y a donc des actions à mettre en œuvre au sein de votre entreprise pour anticiper l’application du RGPD. Voici quelques exemples d’un point de vue RH :
Mettre en place un registre de toutes les activités de traitement impliquant des données personnelles (feuilles de paie, gestion des temps, SIRH, …) ;
S’assurer que vos sous-traitants respectent la sécurité et la confidentialité des données que vous leur confiez (comme par exemple les éditeurs de logiciels de paie) ;
Fixer des règles de nettoyage de vos archives papier et informatique de façon à ce qu’une fois l’objectif poursuivi est atteint, les données personnelles soient supprimées ;
Informer vos collaborateurs sur les données personnelles utilisées (dans quel but et pendant combien de temps elles seront conservées) ;
Répondre aux sollicitations de vos salariés en matière de droit d’accès, rectification des données et droit à l’oubli, après les avoir informés de cette possibilité.
Pour autant, nous ne pouvons que vous conseiller d’appréhender cette nouvelle règlementation de manière globale à l’entreprise, les impacts de la RGPD ne se limitant pas, loin s’en faut, aux traitements RH.