l'actualité juridique

Protection des données

Initié en janvier 2012 par la Commission Européenne, le Règlement général sur la protection des données (RGPD) ou General Data Protection Regulation (GDPR) a été officiellement approuvé par le Parlement Européen en avril 2016.

Il s’agit d’un « règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ».

Lors de son entrée en vigueur le 25 mai 2018, le RGPD constituera le nouveau texte de référence européen en matière de protection des données à caractère personnel. Il viendra remplacer les lois nationales. En France, il remplacera la loi informatique et libertés de 1978.

Quelques clés pour mieux comprendre...

Plus de droits pour vos données en tant que citoyen

Le règlement renforce les droits des citoyens européens, leur donne plus de contrôle sur leurs données personnelles au travers de 6 axes :

  1. « Des données à emporter : je peux récupérer les données que j’ai communiquées à une plate-forme et les transmettre à une autre (réseau social, fournisseur d’accès à internet, site de streaming, etc.) »,
  2. « Plus de transparence : Je bénéficie de plus de lisibilité sur ce qui est fait de mes données et j’exerce mes droits plus facilement (droit d’accès, droit de rectification) », 
  3. « Protection des mineurs : Les services en ligne doivent obtenir le consentement des parents des mineurs de moins de 16 ans avant leur inscription »,
  4. « Guichet unique :  En cas de problème, je m’adresse à l’autorité de protection des données de mon pays, quel que soit le lieu d’implantation de l’entreprise qui traite mes données »,
  5. « Sanctions renforcées :  En cas de violation de mes droits, l’entreprise responsable encourt une sanction pouvant s’élever à 4% de son chiffre d’affaires mondial »,
  6.  « Consécration du droit à l’oubli : Je peux demander à ce qu’un lien soit déréférencé d’un moteur de recherche ou qu’une information soit supprimée s’ils portent atteinte à ma vie privée ».

Ce qui change pour les professionnels

La RGPD poursuit ici 3 objectifs :

  1. Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures,
  2. Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants).
    A titre d’exemple, un client utilisateur d’une solution SIRH est un Responsable de Traitement. Son fournisseur, éditeur, est lui le Sous-Traitant,
  3. Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Les sanctions

Les sanctions sont de deux ordres :

  • Un simple rappel à l'ordre en cas de violation mineure,
  • Pour les manquements les plus graves, le montant pourra atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Et de possibles poursuites en justice de vos salariés.
A ces sanctions, s’ajoute le risque de détériorer l'image de l'entreprise, de sa marque employeur.

7 mois pour vous mettre en conformité. Comment vous préparer au RGPD ?

La CNIL suggère 6 étapes :

ETAPE 1 : désigner un « Pilote »

Correspondant informatique et liberté, chef de projet, délégué à la protection des données, ou autre, vous aurez besoin de désigner un pilote, véritable chef d’orchestre, en charge de ce projet.

ETAPE 2 : Cartographier vos traitements de données personnelles

Il est indispensable de tenir un registre qui vous permettra de :

  • Recenser les données personnelles impactées,
  • Catégoriser ces données,
  • Recenser les traitements associés,
  • Motiver le pourquoi de ces opérations de traitements des données,
  • Identifier les acteurs, internes et externes, qui traitent ces données. Clauses de confidentialités à revoir avec les sous-traitants,
  • Recenser les flux indiquant l’origine et la destination des données. Identifier les éventuelles données qui pourraient circuler hors de l’Union européenne.

ETAPE 3 : Prioriser les actions à mener

A partir de votre registre, vous devez vous :

  • Assurer que seules les données utiles sont collectées,
  • Identifier la base juridique de vos traitements (exemple : contrat, obligation légale…),
  • Vérifier la conformité de vos sous-traitants,
  • Prévoir les droits d’exercice des droits des personnes sur leur données et traitements (droit d’accès, de rectification, de portabilité, de retrait du consentement…),
  • Vérifier les mesures de sécurité mises en place.

Attention particulière,

  • Si vous traitez des données de type : racial, ethnique, opinion politique, religieuses, appartenance syndicale, santé, biométriques…
  • Si votre traitement conduit à l’évaluation vous permettant de produire des décisions juridiques à l’égard d’une personne physique…
  • Si vous transférez des données hors de l’UE.

ETAPE 4 : Gérer les risques

Dans le cas où des traitements de données pourraient engendrer des risques sur les droits et libertés, vous devrez mener une étude d’impact (PIA ou Privacy Impact Assessment).

Etude d’impact qui pourra identifier :

  • Les « éléments à protéger » : minimiser les données, chiffrer, anonymiser, permettre l’exercice des droits, etc.
  • Les « impacts potentiels » : sauvegarder les données, tracer l’activité, gérer les violations de données etc.
  • Les « sources de risques » : contrôler les accès, gérer les tiers, lutter contre les codes malveillants etc.
  • Les « supports » : réduire les vulnérabilités des matériels, logiciels, réseaux, documents papier etc.

ETAPE 5 : Organiser les ressources internes

Il vous impute de garantir la protection des données notamment en prenant en compte les évènements du cycle de vie des données et traitements. Vous devrez donc organiser ces processus.
Cette organisation nécessite de :

  • Prendre en compte la protection des données dès la conception d’une application ou d’un traitement,
  • Former, et/ou communiquer auprès de vos collaborateurs,
  • Traiter les demandes des personnes, réclamations incluses,
  • Anticiper et/ou notifier les éventuelles violations.

ETAPE 6 : Documenter la conformité

Il vous incombera de constituer un dossier documentaire pour prouver votre conformité au règlement sur le traitement de vos données personnelles.
Votre dossier devra comporter les éléments suivants :

  • La documentation sur vos traitements de données personnelles :
    • Registre des traitements,
    • Analyses s’impact,
    • Encadrement des transferts de données,
  • L’information des personnes,
  • Les contrats qui définissent les rôles et responsabilités des acteurs.

Quel Impact pour les RH ?

L’entreprise devient garante du respect de la vie privée. C’est à l’organisation de prouver qu’elle respecte bien le RGPD.

Une opportunité pour les RH autour de deux axes :

  • Organiser, structurer, rationnaliser les données et les processus associés,
  • Consolider la marque employeur.

Un simple fichier Texte ou Excel peut caractériser un traitement de données personnelles.

Les Directions Ressources Humaines sont détentrices et consommatrices de nombre de données personnelles.
Elles collectent, traitent, stockent les données des domaines :

  • Du recrutement. Avec tous les éléments du processus (Cv, lettre de motivation, test, compte rendu d’entretien…),
  • De l’administration du personnel (NSS, Contrat, adresse, RIB, situation de famille…),
  • Des carrières (Compte rendu d’entretien, évaluation, formation…),
  • De la paie (Bulletin de paie, déclaratif, éléments de STC…),
  • De Gestion des Temps et Activité (Données de géolocalisation

Un grand nombre de chantiers sont à mettre en œuvre pour se conformer aux différents articles du RGPD :
Principes

  • Article 6 - Licéité du traitement
  • Article 7 - Conditions applicables au consentement

Information et accès aux données à caractère personnel

  • Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
  • Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée

Rectification et effacement

  • Article 16 - Droit de rectification
  • Article 17 - Droit à l'effacement (« droit à l'oubli »)
  • Article 18 - Droit à la limitation du traitement

Obligations générales

  • Article 25 - Protection des données dès la conception et protection des données par défaut
  • Article 28 - Sous-traitant
  • Article 29 - Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant
  • Article 30 - Registre des activités de traitement

Sécurité du traitement

  • Article 32 - Sécurité du traitement

Analyse d'impact relative à la protection des données et consultation préalable

  • Article 35 - Analyse d'impact relative à la protection des données

Délégué à la protection des données

  • Article 37 - Désignation du délégué à la protection des données
  • Article 38 - Fonction du délégué à la protection des données
  • Article 39 - Missions du délégué à la protection des données

Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales

  • Article 44 - Principe général applicable aux transferts
  • Article 45 - Transferts fondés sur une décision d'adéquation
  • Article 46 - Transferts moyennant des garanties appropriées
  • Article 47 - Règles d'entreprise contraignantes
  • Article 48 - Transferts ou divulgations non autorisés par le droit de l'Union
  • Article 49 - Dérogations pour des situations particulières
  • Article 50 - Coopération internationale dans le domaine de la protection des données à caractère personnel

Dernière minute

« Au 19 septembre 2017,

  • Les lignes directrices sur la portabilité, le délégué à la protection des données et l’autorité chef de file sont définitivement adoptées,
  • Les lignes directrices sur l’analyse d’impact sur la protection des données sont en voie d’adoption,
  • Sont en cours d’élaboration, les lignes directrices sur la certification, la notification de violations de données personnelles, le consentement, le profilage.

Le G29 organisera par ailleurs le 18 octobre 2017 à Bruxelles des ateliers collaboratifs portant sur les thèmes de la consultation, avec les représentants européens de la société civile, des fédérations professionnelles, des universitaires et des institutions européennes. »

Par Thierry DUTRANOIS Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. le 17/10/2017
Expert SIRH chez www.newext-rh.com