RGPD et traitement des données RH

by | 12 Mar, 2018 | Publications

RGPD

En promulguant dès le 7 janvier 1978 la loi dite Informatique et libertés, le Législateur français a fait preuve d’une prise de conscience précoce des incidences lourdes qu’aurait l’informatique sur les droits et libertés fondamentales des citoyens, au premier rang desquels le droit au respect de leur vie privée.

Depuis lors, l’informatique a connu de profonds bouleversements qui ont directement impactés les modalités d’exécution du contrat de travail : cloud computing, smartphone, intranet d’entreprise, BYOD, géolocalisation, contrôle d’accès biométrique, etc.

L’utilisation de ces outils conduit l’employeur à collecter de nombreuses données personnelles de ses salariés, sans toujours en avoir conscience, faisant parfois de lui un « responsable de traitement » qui s’ignore.

Or, le Règlement Général sur la Protection des Données du 27 avril 2016 (RGPD), qui entrera en vigueur le 25 mai 2018, accroît sensiblement les obligations pesant sur tout responsable de traitement.

Ce règlement européen, dont certaines dispositions sont d’application directe et impérative, a toutefois laissé d’importantes marges de manœuvre aux Etats pour sa transposition en droit interne.

En la matière le gouvernement français a fait le choix d’une réécriture de la loi Informatique et Libertés, laquelle fait l’objet d’un projet de loi du 13 décembre 2017, actuellement discuté devant la représentation nationale.

Ce calendrier semble passablement tardif dans la mesure où le RGPD impose une véritable révolution culturelle aux responsables de traitement de données personnelles.

Les ressources humaines, parce qu’elles ont vocation à collecter des données personnelles, parfois sensibles, des salariés de l’entreprise, sont directement impactées par le RGPD dont la logique est triple : simplification, transparence et responsabilisation des acteurs.

Or il s’agit d’un texte dense (88 pages, 173 considérants et 99 articles !) contenant de nombreuses notions nouvelles, parfois floues, et donc d’une appréhension délicate.

Sans prétendre à l’exhaustivité, les développements qui suivent présentent, après quelques précisions terminologiques, les grands principe du RGPD et les bonnes pratiques à mettre en place pour le traitement des données RH.

 

1. Qu’est-ce qu’un traitement de données RH?

Aux termes du RGPD, constitue une donnée à caractère personnel :

« toute information se rapportant à une personne physique identifiée ou identifiable », c’est-à-dire, « qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant (…), des données de localisation (…) ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Le traitement est défini comme :

« toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés » tels que, notamment, la collecte, l’enregistrement, l’organisation, la conservation, la modification, la consultation, l’utilisation, la diffusion, l’effacement ou la destruction.

Ces définitions larges et ouvertes offrent un vaste périmètre de protection dans lequel entrent la plupart de données nécessaires ou accessoires à la gestion des ressources humaines.

En pratique, constituent ainsi des données personnelles, dont le traitement est encadré, les données suivantes :

  • nom
  • photographie
  • CV
  • numéro de téléphone
  • numéro Sécurité Sociale
  • coordonnées bancaires
  • adresse
  • numéro de plaque d’immatriculation
  • éléments biométriques tels que l’empreinte digitale
  • identifiants de « cookies »
  • identifiants de terminaux (IDFA, Android ID)
  • données servant au fingerprinting

 

2. Principes généraux du RGPD

Les données à caractère personnel doivent être :

  • traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence)
  • collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités (limitation des finalités)
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement (minimisation des données)
  • exactes et, si nécessaire, tenues à jour (exactitude)
  • conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités du traitement (limitation de la conservation)
  • traitées à l’aide de mesures techniques ou organisationnelles appropriées de façon à garantir leur sécurité, y compris au regard du risque de traitement non autorisé ou illicite et contre la perte ou la destruction (intégrité et confidentialité). (RGPD, art. 5, § 1)

Ces principes s’imposent au responsable du traitement, qui doit être en mesure de prouver leur respect.

Le RGPD renforce en outre les obligations à la charge du responsable de traitement et augmente le plafond des amendes administratives pouvant être infligées par la CNIL (jusqu’à 20 millions d’euros ou 4% du chiffres d’affaires annuel mondial total de l’exercice précédent), sans préjudice des sanctions pénales des articles 226-16 à 226-24 du Code pénal.

Le règlement introduit par ailleurs un droit à réparation du préjudice subi pour toute personne ayant subi un dommage matériel ou moral du fait de l’utilisation de ses données personnelles (Data breach) et impose des obligations renforcées en cas de perte ou de vol de données.

A titre d’exemple, si l’ordinateur portable ou le smartphone d’un salarié est volé ou perdu, l’employeur doit désormais le déclarer à la CNIL dans les 72 heures, « à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques » (RGPD art. 33), ce qu’il lui appartiendrait de démontrer.

Outre l’obligation de mettre en œuvre les mesures de sécurité nécessaires pour gérer les failles de sécurité, l’employeur devra, sous certaines conditions, informer la ou les personnes concernées quand la violation de données est « susceptible d’engendrer un risque élevé pour les droits et libertés » (RGPD art. 34).

Tel peut être le cas, par exemple, lorsque l’accès à l’équipement perdu ou volé est soumis à une reconnaissance d’empreinte digitale.

 

3. Moins de déclarations préalables à la CNIL mais une plus grande responsabilité de l’employeur

En application de la loi Informatique et libertés, l’employeur devait effectuer diverses déclarations auprès de la CNIL avant la mise en œuvre de traitements de données à caractère personnel de ses salariés.

Le RGPD allège ce formalisme mais impose, en contrepartie, une logique de responsabilisation (Accountability) impliquant que l’employeur prenne toutes les mesures propres à garantir la sécurité des données personnelles de ses salariés.

Pour la mise en œuvre de cette obligation de garantie, le RGPD introduit une obligation de tenir un registre des traitements pour les entreprises d’au moins 250 salariés, dont il détaille le contenu (RGPD, art. 30).

L’article 35 du RGPD impose en outre d’effectuer une étude d’impact relative à la protection des données, dite PIA (Privacy Impact Assessment), « lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».

Ainsi, même en l’absence d’obligation de tenue d’un registre des traitements, il est nécessaire de cartographier les différents traitements de données RH afin d’identifier les risques et les mesures à mettre en place.

La CNIL a mis en ligne 3 guides pratiques relatifs à la Méthode, l’Outillage et les Bonnes pratiques en matière de PIA, outre un logiciel PIA destiné aux responsables de traitement peu ou pas familiers de la démarche PIA, téléchargeable à l’adresse https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil.

Les catégories ci-dessous illustrent les traitements usuellement recensés par les ressources humaines :

 

Recrutement Paie Gestion de carrière Vie du salarié Logistique Surveillance, santé et sécurité
·  Formulaire de candidature en ligne

·  Entretien

·  Bilan de compétence

 ·  Etat civil

·  Adresse

·  Numéro de SS

·  Coordonnées bancaires

 ·  Formation

·  Evaluation annuelle

·  Mobilité

·  Sanctions disciplinaires

 ·  Situation maritale

·  Situation familiale

·  Engagements (appartenance, candidature aux élections professionnelles)

 ·  Véhicule professionnel

·  Ordinateur portable

·  Smartphone

 ·  Badge d’accès

·  Accès biométrique,

·  Vidéosurveillance

·  Géolocalisation

·  Tests de dépistage

·  Avis médicaux

 

4. Désignation éventuelle d’un DPO

Le RGPD consacre l’arrivée d’un nouvel acteur, présenté comme le chef d’orchestre de la conformité dans l’entreprise : le Délégué à la Protection des Données ou DPO (Data Protection Officer), dont la désignation n’est toutefois obligatoire que dans certaines hypothèses.

Bien que le RGPD ne soit pas limpide à cet égard (art. 5, § 1), il semble que l’employeur n’a l’obligation de désigner un DPO que si ses « activités de base » consistent en :

  • « des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées », ou
  • « un traitement à grande échelle » de données sensibles telles que, notamment, données génétiques, données biométriques ou données concernant la santé.

En somme, l’obligation de désigner un DPO ne procède pas, en tant que telle, de la qualité d’employeur, mais de l’activité même de l’entreprise. Ainsi, une clinique ne pouvant fournir de soins sans traitement de données de santé, l’obligation de désignation d’un DPO s’impose à elle.

La désignation d’un DPO peut toutefois être volontaire et paraît d’ailleurs hautement souhaitable dès lors que les RH mettent en place des solutions telles que l’accès biométrique, la géolocalisation ou le dépistage de la consommation d’alcool ou de stupéfiants pour les postes à risques.

Le DPO est en effet le garant du respect de la réglementation et doit, notamment, informer et conseiller le responsable du traitement et les salariés, contrôler le respect du RGPD et des règles internes du responsable du traitement, et coopérer avec la CNIL sur les questions relatives au traitement.

Enfin, le RGPD permet aux entreprises, compte-tenu de leur structure et de leur taille, de désigner un DPO commun, interne ou externe. La désignation d’un DPO au sein d’un groupe, voire d’une UES, est donc parfaitement possible.

 

5. Minimisation de la collecte des données RH et de la durée de conservation

Pour les traitements RH, et tout spécialement à l’occasion des recrutements, l’employeur ne devra collecter que les données adéquates, pertinentes et strictement nécessaires à la finalité du traitement.

Ainsi, la collecte sur un formulaire de candidature de données concernant la cellule familiale d’un candidat (nom et prénom des enfants, etc.) paraît inadéquate car sans rapport avec l’évaluation du candidat et de sa capacité à occuper le poste proposé.

Il est en outre interdit de collecter des données dites « sensibles », qui révèlent :

« l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques (..), des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle ». (RGPD, art. 9 §1)

De telles données ne peuvent être collectées que, notamment, si leur « traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ». (RGPD, art. 9 §2)

Ainsi, des données dont la collecte est interdite lors d’un entretien d’embauche peuvent être collectées pour les besoins de l’exécution du contrat de travail (paie, gestion de carrière, vie du salarié, logistique, surveillance, santé, sécurité, etc.)

Le projet de loi actuellement débattu s’oriente vers un maintien du régime d’autorisation préalable par la CNIL pour le traitement de certaines données sensibles, notamment en matière de données biométriques et de santé.

Les RH doivent en outre s’assurer qu’une politique de durée de conservation des données a bien été définie et que les données sont supprimées une fois que l’objectif poursuivi est atteint. En pratique, les CV et lettres de motivation des candidats non retenus ne devraient pas être conservés plus de deux ans.

 

6. Garantie de sécurité et de confidentialité des données

Les principes d’Accountability et de Privacy by Design imposent à l’employeur de prendre toutes les mesures « techniques et organisationnelles » pour assurer la confidentialité des données personnelles des candidats et salariés et éviter toute divulgation à des tiers non-autorisés. (RGPD art. 32)

Les mesures organisationnelles s’entendent de la gouvernance de l’entreprise (sensibilisation du personnel aux cyber-risques, mise en place d’une documentation interne, charte informatique, etc.) tandis que les mesures techniques concernent les dispositifs de sécurité physique et informatique mis en place (pseudonymisation des données, chiffrement, masquage, etc.).

 

7. Information des candidats et salariés

L’employeur a désormais l’obligation d’informer ses salariés (et les candidats à l’emploi) de la mise en place d’un traitement, de ses finalités et de ses modalités.

Lors de la collecte des données, les candidats et salariés devront être informés, notamment, sur l’identité et les coordonnées du responsable du traitement (et le cas échéant du DPO), les finalités et la base juridique du traitement, les destinataires des données, leur éventuel transfert hors UE, la durée de conservation des données ou les critères utilisés pour déterminer cette durée, l’existence du droit de demander l’accès aux données, la rectification ou l’effacement de celles-ci, le droit d’introduire une réclamation auprès d’une autorité de contrôle. (RGPD, art. 5, § 2)

Cette information devra apparaître de façon claire sur les supports tels que, par exemple, le formulaire de candidature en ligne sur le site internet de l’entreprise et le contrat de travail remis au salarié. Il convient donc d’adapter sans attendre les modèles de documents correspondants.

**********

L’entrée en vigueur du RGPD ouvre de vastes chantiers pour tous les responsables de traitement, et notamment les ressources humaines.

De nombreuses incertitudes demeurent sur les modalités effectives d’application de nouveaux principes et de notions dont les contours sont parfois flous et le rôle de clarification de la CNIL sera essentiel à cet égard.

Les enjeux inhérents au traitement des données personnelles de salariés, dans un contexte de dématérialisation croissante des méthodes et des relations de travail, imposent plus que jamais aux ressources humaines d’associer l’informaticien et l’avocat à leurs réflexions stratégiques.

 

Sources :

Règlement Général sur la Protection des Données du 27 avril 2016

Article paru dans Le Journal du Management Juridique et Réglementaire n°62

Vous avez une question en droit du travail ?

Contactez-nous à l’adresse contact@ilexen.com