L’entrée en vigueur le 25 mai prochain du nouveau Règlement Général sur la Protection des Données Personnelles (RGPD ou RGDP) suscite de nombreuses interrogations de la part des professionnels des Ressources Humaines.
Afin d’éclaircir le sujet, j’ai posé mes questions à Maître Cécile Martin. Après un passage par la CNIL en tant que Juriste, Maître Martin est aujourd’hui Avocat à la Cour [1].

1. Qu’est-ce que le RGDP ?

Il s’agit du Règlement Général sur la protection des Données Personnelles. Il a été adopté au niveau de l’Union Européenne le 14 avril 2016 et entera en application le 25 mai 2018. Du fait de sa nature réglementaire, il sera directement applicable au sein des Etats membres de l’Union Européenne. Cela signifie qu’il sera applicable en France sans qu’une loi nationale ne soit nécessaire. Il abrogera donc, à cette date, la directive européenne du 24 octobre 1995 relative aux données à caractère personnel.

De par sa nature réglementaire, il vise à uniformiser et simplifier les règles auxquelles les organismes traitant des données, tels que les entreprises, sont soumis au sein de l’Union Européenne, y compris les employeurs.

2. La loi du 6 janvier 1978 va-t-elle disparaître ?

Non pas totalement. Le Gouvernement a décidé de ne pas abroger la loi du 6 janvier 1978 mais de la modifier en profondeur afin d’assurer sa mise en conformité avec le RGDP. En effet, il est à noter que le règlement prévoit qu’il est possible pour les Etats membres, dans certains domaines, de préciser certaines dispositions ou de prévoir plus de garanties que ce que prévoit le droit européen. A cet égard, il est important de noter que par application de l’article 88 du règlement, les relations de travail peuvent faire l’objet de dispositions alternatives relativement aux données personnelles. Ainsi, le Règlement permet aux Etats membres de prévoir, par voie législative ou conventionnelle, des règles différentes, qui doivent en tout état de cause « protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées, en accordant une attention particulière à la transparence du traitement, au transfert de données à caractère personnel au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail ». Pour le moment, le projet de loi visant à modifier la loi du 6 janvier 1978 ne contient pas de mesures propres aux salariés mais ce projet est toujours en cours de discussion devant le Parlement.

3. Quels sont les principaux changements induits par le RGDP auxquels les professionnels des RH doivent prêter attention ?

Le règlement a vocation à renforcer les droits des personnes physiques, et donc des salariés, sur leurs données à caractère personnel (tels que le droit à l’information, le droit d’accès aux données, le droit de rectification de ces données) et à créer de nouveaux droits comme le droit à l’effacement ou à la portabilité des données. Ainsi, à titre d’exemple, un employeur n’aura plus qu’un mois pour répondre à une demande de communication de données qui serait faite par un salarié alors que jusqu’au 25 mai 2018, il dispose de deux mois. Le RGDP vise également à créer de nouvelles obligations pour les responsables de traitement, à savoir les employeurs, notamment en ce qui concerne l’information à fournir en cas de perte ou de violation des données personnelles.

En contrepartie, le règlement prévoit une réduction des formalités préalables pour la mise en œuvre des traitements de données par les entreprises. Ainsi, désormais, le responsable de traitement sera chargé d’évaluer les risques portés par le traitement qu’il envisage de mettre en œuvre et devra tenir, sauf exceptions, un registre des traitements de données plutôt que d’effectuer des déclarations ou autorisations auprès de la CNIL, sauf pour certains traitements qui nécessiteront ce qui est appelé des DPIA (Data Privacy Impact Assessement) et dont la liste sera publiée prochainement par la CNIL. L’on passe ainsi d’un système de contrôle a priori de la CNIL à un contrôle a posteriori : c’est le principe dit de l’accountability.

4. Quels sont les sanctions encourues ?

Outre les dispositions pénales toujours applicables, la CNIL voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme concerné en fonction du manquement constaté. Il est à noter toutefois que les pouvoirs de la CNIL avaient déjà été substantiellement renforcés par la loi du 7 octobre 2016 pour une République numérique, laquelle avait porté le pouvoir de sanction de la CNIL à hauteur de 3 millions d’euros.

5. Quel comportement adopter face à ce nouveau texte ?

Au vu de la date d’entrée en vigueur du RGDP, il est grand temps pour les professionnels RH de se familiariser au plus vite avec ce nouveau texte, de cartographier les traitements de gestion du personnel effectués par l’entreprise afin de s’assurer que ceux-ci sont effectués en conformité avec les textes applicables et de documenter ces derniers (registre, notices d’information, procédures internes de sécurité des données…) afin d’être en mesure de prouver cette mise en conformité aux agents de la CNIL en cas de contrôle.
De plus, le droit du travail s’appliquant également à ces traitements, il convient de s’assurer que les instances du personnel sont informées et consultées préalablement à la mise en œuvre de certains traitements lorsque cela est nécessaire (ex : traitements relatifs au contrôle de l’activité des salariés).

Linda Zidane Responsable Prestation Formation PAY JOB Formation/Linking Talents Formation Droit du travail-Ressources humaines-Paie [->lindazidane@payjob.fr]