Entré en vigueur le 25 mai 2018, le RGPD est venu répondre à un véritable besoin de protection des données des citoyens. Si le droit d’accès aux informations essentielles est opposable à l’État et aux organismes publics, les entreprises privées sont également concernées par un devoir de protection des données de leurs employés. A ce sujet, la Maison du barreau a accueilli une conférence sur le thème du RGPD et des relations de travail. Le Village de la Justice était présent et vous livre l’essentiel de la manifestation.

« Avec le développement de la télévision et le perfectionnement technique qui rendirent possibles la réception et la transmission simultanées, ce fut la fin de la vie privée ». George Orwell ne croyait pas si bien dire ! 70 ans après cette prophétie tirée de son best-seller 1984, les questions de la vie privée et de la protection des données personnelles agitent encore l’opinion publique. En toile de sur fond, les récents scandales liés à la récupération immorale des données personnelles et leurs mises à disposition au profit de candidats aux élections politiques aux États-Unis, ont défrayé la chronique.

A l’échelle européenne, l’entrée en vigueur du RGPD en mai 2018 a eu justement pour but de protéger davantage les données personnelles des citoyens. Mis en œuvre en France par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, le règlement a vocation à s’appliquer dans différentes branches du droit, à l’instar du droit des contrats, le droit de la propriété intellectuelle et... le droit du travail.

Sur le droit social justement, de nouvelles obligations pèsent sur les épaules des employeurs quant à l’utilisation des données personnelles de leurs employés. Présent à la conférence organisée le 23 janvier 2019 à la Maison du Barreau, Eric Delisle, chef du service Questions sociales et relations humaines à la CNIL, a présenté un état de lieu sur l’influence du RGPD sur les relations de travail.

Salariés : des données personnelles mieux protégées.

« Le RGPD accorde un droit d’accès aux salariés sur leurs données personnelles. Ils peuvent donc les consulter, les rectifier et s’opposer à certaines informations s’ils ne sont pas nécessaires à la nature de la tâche », a d’abord affirmé Eric Delisle. Pour le juriste de la CNIL, ce droit s’insère dans le cadre du principe de « transparence du traitement des données », élément phare du RGPD. Il va sans dire que le texte consacre « le principe de sécurité et de confidentialité des données récoltées » indique le chef de service à la CNIL.

Conférence RGPD et relations de travail à la Maison du barreau à Paris (Crédits Photo : Village de la Justice).

Mais le règlement européen va plus loin dans la logique de protection des données personnelles des employés. En effet, il élargit le spectre de ses bénéficiaires en incorporant les candidats à l’embauche. Ces derniers ont désormais le droit, au même titre que les salariés, d’être informés des données collectées et de leur finalité, précise Eric Delisle. Le texte limite également la date de conservation des données personnelles. Celui-ci s’établit désormais à un mois pour les images de vidéosurveillance et cinq ans pour les informations liées à la paie et la durée du travail.

Par ailleurs, le RGPD précise que la mise en place ou la modification du plan de traitement des données personnelles nécessite la consultation du comité d’entreprise. Ce qui donne dans les faits, un droit de regard supplémentaire aux salariés sur cette thématique.

Enfin, le RGPD préconise un consentement écrit des salariés pour le traitement des données personnelles qui ne sont pas strictement nécessaires aux finalités de la mission confiée.

Preuve de l’importance de la protection des données personnelles, le règlement européen prévoit, en ultime recours, des sanctions très lourdes (4% de son chiffre d’affaire mondial) à l’encontre des entreprises qui sont reconnues coupables de manquement dans la protection de ces données.

Vers une logique de responsabilisation de l’employeur.

Le RGPD a pour philosophie de responsabiliser davantage l’employeur dans cette quête. Ainsi, l’obligation de notification préalable de la CNIL lors de la mise en place du mécanisme de protection des données, a été supprimée.

Par ailleurs, le dirigeant est tenu par le règlement (article 30 RGPD) de mettre en place un registre de traitement des données personnelles. Il s’agit d’un document qui regroupe les principes relatifs à la collecte et au traitement des données et est consultable par la CNIL en cas de contrôle. Notons toutefois que les entreprises de moins de 250 salariés bénéficient d’une dérogation quant au contenu du registre. En effet, celui peut ne contenir que les traitements non occasionnels (exemple : gestion de paie, des clients et des fournisseurs), ceux susceptibles de comporter un risque pour les droits et libertés des personnes (système de géolocalisation, de vidéosurveillance...) et enfin ceux qui portent sur les données sensibles (données de santé, infraction).

Ce tableau a pour finalité d’identifier les parties qui ont un accès direct aux données personnelles, la nature des informations collectées, leur finalité, et leur méthode de sécurisation. En toile de fond, il doit servir à se poser les vraies questions au sein de l’entreprise : avons-nous vraiment besoin de cette information dans le cadre de notre fonctionnement ? Est-ce utile de conserver toutes ces données aussi longtemps ? Peuvent-elles être utilisées par un tiers un jour et comment mieux les protéger ? Le registre a donc vocation à être un véritable examen de conscience pour l’entreprise.

En plus de la tenue d’un registre, le RGPD impose aux entreprises de plus de 250 salariés et à certains organismes de recruter un Délégué à la protection des données (DPO). Ce juriste effectue une mission une mission de veille sur la conformité du traitement des données au regard de la règlementation, et a le rôle d’interlocuteur privilégié de la CNIL.

Toujours dans la logique de sensibilisation de l’employeur, celui-ci est désormais amené à s‘assurer de la conformité du traitement des données personnelles par ses sous-traitants. Enfin, il doit signaler toutes les violations des données à la CNIL.
Autant d’avancées et de modifications qui placent le RGPD entre les stades de « l’évolution et la révolution  », selon l’expression choisie par Ariane Mole, avocate au barreau de Paris. Reste à voir l’application du règlement sur le long terme par les tribunaux français et européens. Car les textes c’est bien, l’application, c’est mieux !

Nessim Ben Gharbia Rédaction du Village de la Justice

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion, plus d'infos dans nos mentions légales ( https://www.village-justice.com/articles/Mentions-legales,16300.html#droits ).