SOCIAL – Protection des données personnelles : l’échéance du 25 mai approche

Actualité Droit du travail, Social du 16 mars 2018

Le règlement général de l’Union européenne sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018.

Directement applicable en droit français, ces dispositions impacteront toutes les entreprises quelles que soient leur taille, qu’elles soient ou non basées en Europe à partir du moment où elles traitent des données appartenant à un citoyen européen.

L’objectif de ce RGPD est de garantir aux individus la sécurité de leurs données personnelles, notamment celles détenues par des tiers (entreprises, organismes…etc).

Les services RH directement concernés

En effet, les services RH sont amenés à collecter un grand nombre de renseignements de données permettant d’établir la paie :
• noms,
• prénoms,
• numéros de sécurité sociale,
• adresse…

Mais peut-être aussi :

• arrêts maladie,
• photos,
• vidéo-surveillance,
• données de géolocalisation…

Autant de données dont le droit à l’accès, à la rectification et à l’oubli va devoir être garanti, sans quoi les sanctions de la CNIL pourront être sévères (10 à 20 millions € ou 2 à 4% du chiffre d’affaires mondial).

Vigilance accrue pour les données sensibles

Les données dites « sensibles » doivent être hautement sécurisées. Il s’agit notamment des informations détenues et faisant « apparaître, directement ou indirectement les origines raciales, ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale des personnes, relatives à la santé ou à la vie sexuelle de celles-ci » (source CNIL).

D’autres données sont également considérées comme étant sensibles comme, par exemple, les données comportant des appréciations sur les difficultés sociales des personnes ou encore les données comprenant le numéro de sécurité sociale d’un individu.

Que devez-vous faire ?

Il vous faut :

• désigner une personne pilote, autrement appelé « Data Protection Officer» (DPO) qui sera la personne responsable de la protection des données. Il s’agira pour ce DPO de suivre le registre des traitements et d’assurer une mission d’information, de conseil et de contrôle interne.
• dresser un état précis des données en votre possession et des données que vous confiez à des sous-traitants. En effet, dans le cadre du RGPD, il vous faudra vous assurer que vos prestataires respectent bien eux-mêmes cette réglementation (attestation de conformité par exemple).
• se poser les bonnes questions : les données collectées sont-elles nécessaires à la réalisation de ma mission ? Quelle est la finalité de ce stockage ? Où sont-elles conservées ? Pendant combien de temps ? Quelles sont les mesures de protection mises en œuvre ?
• mettre en place des procédures internes visant à en garantir la protection et surtout documenter les différentes étapes de votre mise en conformité (rappelons, qu’en cas de litige ou en cas de contrôle, ce sera à l’entreprise de prouver qu’elle a fait le nécessaire pour respecter la réglementation européenne.

La mise en œuvre du Règlement Général sur la Protection des Données personnelles doit être abordée avec méthode, il est important de s’en saisir dès à présent et au besoin, de vous faire accompagner dans vos démarches.