RGPG & RH: quel impact?

Le Règlement Général sur la Protection des Données (RGPD) est arrivé! Applicable à partir du 25 mai 2018, la nouvelle réglementation européenne apporte des changements considérables dans les pratiques des entreprises. Même si l’accent est souvent mis sur les relations entreprises-clients, il ne faut pas oublier les relations entreprises-salariés. Ainsi, il est vital que les services des ressources humaines (RH) participent à la stratégie de mise en conformité. 

Les services RH ont accès aux données personnelles voire même sensibles des salariés, dès la phase du recrutement jusqu’au départ du salarié de l’entreprise. Pour garantir le respect de la réglementation, il y a plusieurs conseils à suivre.

1.  L’information et le consentement préalable des salariés

Avant tout traitement de leurs données, les salariés doivent recevoir des informations de façon claire et précise portant notamment sur : l’identité du responsable de traitement, la finalité de la collecte, les destinataires des informations, les droits les concernant, les éventuels transferts de données en dehors de l’Union européenne.

En plus, l’employeur doit obtenir le consentement préalablement à la collecte, sous la forme d’« un acte positif clair » par lequel le salarié « manifeste de façon libre, spécifique, éclairée, et univoque » son accord au traitement des données le concernant. Cependant, selon le G29, il est peu probable que le consentement du salarié soit considéré comme étant libre, compte tenu du lien de subordination qui existe entre l’employeur et le salarié. Ainsi, l’employeur ne peut se fonder sur le consentement que dans des cas très rares. Il ne faut pas oublier que le salarié pourra retirer son consentement à tout moment. Il reviendra à l’employeur de démontrer que le consentement a été donné librement.

2. Le respect de l’exigence de minimisation des données

Lorsque les services RH traitent une masse importante de données, ils doivent se limiter à ne traiter que les données nécessaires à l’objectif pour lequel les données sont collectées. Il est strictement interdit de demander aux salariés des données qui ne sont pas utiles au traitement poursuivi.

3. Le respect des droits de salariés

Le RGPD garantit les droits déjà existants (le droit d’accès, d’opposition et de rectification) et en crée des nouveaux, notamment le droit à l’oubli et le droit à la portabilité des données. La RH va devoir garantir aux salariés l’exercice de ces droits. Un processus de saisine adapté doit être envisagé étant donné qu’une réponse à la demande doit être apportée sous 1 mois.

4. Le respect de la durée de conservation des données RH    

Les données des salariés doivent être conservées pour une durée nécessaire à l’objectif poursuivi par la collecte. Mais parfois l’employeur doit conserver certaines données pendant une durée plus longue que la finalité initiale, en raison d’une obligation légale. La durée de conservation des données RH varie donc d’un type de donnée à l’autre.

5. Garantir un accès limité et contrôlé aux données des salariés

L’accès aux données des salariés doit être limité aux seules personnes habilitées. C’est à l’employeur que revient l’obligation de déterminer tant les personnes qui ont accès aux données que le type de données auxquelles ces personnes ont légitimement accès. Pour garantir la sécurité des données et contrôler l’accès, l’employeur doit prendre toutes les mesures opérationnelles nécessaires.

 

Le traitement des données RH oblige les employeurs à se mettre en conformité, d’autant plus que les sanctions peuvent s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise.

Il est pertinent de rappeler que le RGPD donne la possibilité aux Etats membres de « prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail ». Il est donc probable que les règles évoluent encore dans ce domaine.

A propos de Larisa RUSU

Étudiante en Master 2 Droit de l’économie numérique au sein de l’Université de Strasbourg et titulaire d'un Master 2 Droit et politique de l'Union européenne au sein de l’Université de Strasbourg, je m’intéresse au domaine du numérique et particulièrement à la protection des données personnelles.

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.