|
Village de la Justice www.village-justice.com |
|
Employeurs : Quelles sont vos nouvelles obligations de traitement de données depuis l’entrée en vigueur du règlement européen RGPD ? Par Emmanuelle Destaillats, Avocat.
|
|
Parution : mercredi 6 juin 2018
Adresse de l'article original :
https://www.village-justice.com/articles/employeurs-compter-mai-2018-entree-vigueur-reglement-europeen-rgpd-vos,28653.html Reproduction interdite sans autorisation de l'auteur. |
A l’occasion de la publication par la Commission Nationale de l’Informatique et des Libertés (CNIL) d’un guide d’accompagnement des petites et moyennes entreprises pour leur appropriation du Règlement européen sur la protection des données (RGPD), nous vous proposons de revenir sur les grands axes de cette nouvelle réglementation européenne.
A l’occasion de l’entrée en vigueur, le 25 mai dernier, du règlement européen « RGPD », et de la publication par la Commission Nationale de l’Informatique et des Libertés (CNIL) d’un guide d’accompagnement « Le RGPD, c’est maintenant : les changements à retenir et les outils pour bien se préparer »,nous vous proposons de revenir sur les grands axes de cette nouvelle réglementation européenne.
Depuis le 25 mai 2018, les entreprises doivent en effet se mettre en conformité avec le nouveau règlement européen n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 « Relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » (RGPD)
L’employeur est amené à traiter, au quotidien, de nombreuses données à caractère personnel pour la gestion de son personnel : coordonnées bancaires et numéro de sécurité sociale pour la paie et les déclarations sociales obligatoires, tenue du registre du personnel, mutuelles d’entreprise, annuaire comportant des photographies des salariés…
Les dispositifs de contrôle de l’activité des salariés mis en œuvre dans l’entreprise peuvent constituer également, comme rappelé précédemment sur notre site, des traitements de données à caractère personnel.
Un employeur est donc considéré comme un « Responsable de traitement », au sens de l’article 4 du règlement européen.
Ce texte, qui renforce le contrôle des personnes physiques sur leurs données à caractère personnel, est d’une grande importance car il augmente considérablement les obligations des entreprises et les sanctions encourues par elles.
La CNIL est en effet désormais habilitée par le règlement à prononcer, à la place ou en complément de mesures correctrices, des amendes administratives dont le montant peut être fixé jusqu’à 10 millions d’euros pour tout organisme ou, dans le cas d’une entreprise, jusqu’à 2 % à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
(Article 83 du règlement RGPD).
Le texte s’applique dans toute l’Union Européenne, sans nécessiter de texte de transposition nationale, dès lors que le responsable de traitement ou son sous-traitant est établi sur le territoire de l’Union Européenne, ou met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les cibler.
L’ensemble des entreprises employant des salariés dans l’Union Européenne se trouve donc dans l’obligation de se mettre en conformité avec le règlement européen « RGPD ».
Dans ce contexte, l’Assemblée Nationale a adopté le 14 mai 2018 en lecture définitive un projet de loi visant à adapter la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés au nouveau règlement européen.
Le 16 mai 2018, ce texte a fait l’objet d’une saisine n°2018-765 DC du Conseil constitutionnel, ce qui a retardé son entrée en vigueur initialement prévue au 25 mai 2018. Le Conseil constitutionnel dispose d’un délai d’un mois pour statuer, de sorte que sa décision est attendue au plus tard le 16 juin 2018. En outre, la loi ou les conventions collectives peuvent, en matière de législation sur le travail, prévoir des règles plus spécifiques pour assurer la protection des droits et libertés concernées dans le cadre des relations de travail.
(Article 88 du règlement RGPD)
Des conventions collectives de branche, voire d’entreprise, peuvent donc elles aussi comporter des dispositions relatives au traitement des données à caractère personnel des salariés.
En tout état de cause, les entreprises doivent se référer à l’autorité de protection du lieu où se trouve leur établissement principal, c’est-à-dire soit celui du lieu de leur siège central dans l’Union, soit celui de l’établissement au sein duquel seront prises les décisions relatives aux finalités et aux modalités du traitement.
(Article 51 du règlement RGPD)
La CNIL, autorité administrative indépendante compétente pour le territoire français, a précisé sa politique de contrôle pour cette période d’adaptation venant de s’ouvrir :
« Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL.
En revanche, pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact, etc.), les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes. En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points. »
Le règlement européen RGPD opère en effet un changement de perspective : les régimes de déclarations et d’autorisations préalables sont supprimés pour faire place à une logique de conformité continue, reposant notamment sur le respect d’obligations inédites.
En vue de vous accompagner dans cette nouvelle période d’adaptation, nous vous proposons donc un premier aperçu de quelques-unes de ces nouvelles obligations, à savoir :
Avant de mettre en place un nouveau dispositif de traitement des données à caractère personnel de ses salariés, l’employeur doit vérifier que ce dernier n’est pas soumis à la mise en œuvre préalable d’une étude d’impact.
Cette dernière est en effet obligatoire pour les traitements de données présentant un risque élevé pour les droits et libertés des personnes.
(Article 35 du règlement RGPD)
La gravité du risque doit être évaluée pour les personnes, et non pour l’entreprise. En pratique, précise la CNIL, l’analyse d’impact est nécessaire pour tous les traitements de données remplissant au moins deux des critères suivants :
(Article 35 §3 du règlement RGPD, Fiche pratique de la CNIL)
Dans un souci de lisibilité, la CNIL travaille actuellement sur la réalisation d’une liste des traitements obligatoirement soumis à analyse d’impact, et une autre pour lesquels aucune analyse n’est requise.
(Article 35, §4 et §5 du règlement RGPD).
Elle précise d’ores et déjà que les dispositifs de contrôle de l’activité des salariés sont soumis à cette obligation d’analyse d’impact préalable, dans la mesure où dans la plupart des cas « ce traitement remplit le critère de la surveillance systématique et celui des données concernant des personnes vulnérables ».
(Fiche CNIL « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données »)
Une analyse d’impact doit être menée avant la mise en œuvre du traitement et mise à jour tout au long du cycle de vie du traitement.
La CNIL met d’ores et déjà à disposition des employeurs un logiciel édité par elle visant à mettre en œuvre une analyse d’impact, le logiciel PIA.
(Fiche CNIL « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données »)
L’étude d’impact doit contenir au moins les mentions suivantes :
La consultation des salariés (par le biais d’une enquête, sondage) et des représentants du personnel est en outre nécessaire à toute mise en œuvre d’un traitement nécessitant une étude d’impact.
Cette consultation des représentants du personnel était au demeurant, déjà exigée pour la mise en place de nombreux dispositifs de contrôle de l’activité des salariés.
En outre, si un sous-traitant intervient dans le traitement, il doit fournir son aide et les informations nécessaires à la réalisation de l’analyse d’impact.
(Fiche CNIL « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données »)
La réalisation d’une analyse d’impact n’est toutefois pas toujours suffisante pour permettre la mise en œuvre du traitement des données.
(Article 36 du règlement RGPD)
Lorsque le responsable du traitement ne parvient pas à̀ identifier des mesures suffisantes pour réduire les risques à un niveau acceptable (c’est à dire lorsque les risques résiduels demeurent élevés), une consultation de l’autorité de contrôle (la CNIL pour la France) est obligatoire.
(Lignes directrices du G29 concernant l’obligation d’analyse d’impact, page 22)
La CNIL précise qu’« un risque résiduel peut être estimé comme élevé quand il induit pour les personnes des conséquences importantes voire irréversibles qu’elles ne pourraient pas surmonter et/ou lorsqu’il semble évident que le risque se produira. »
(Fiche CNIL « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données »)
Si, lors de sa consultation, la CNIL considère que le traitement constitue une violation du présent règlement, elle peut faire usage des pouvoirs qui lui sont donnés par le règlement et prononcer des injonctions de mise en conformité, une suspension ou interdiction du traitement.
(Articles 36 et 58 du règlement RGPD)
Selon la CNIL, une étude d’impact doit être mise en œuvre :
La CNIL précise ainsi qu’une étude d’impact ne sera pas exigée, pendant une période de dispense de trois ans, pour :
A l’issue de ce délai, les employeurs devront avoir effectué une étude d’impact si le traitement remplit les critères rappelés ci-dessus.
(Fiche CNIL « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données »)
Un registre détaillé et mis à jour des traitements de données à caractère personnel mis en œuvre dans l’entreprise doit être tenu par l’employeur et mis à la disposition permanente des agents de la CNIL.
(Article 30 du règlement RGPD)
La tenue de ce registre est obligatoire pour les entreprises de plus de 250 salariés ou dans toute entreprise si le traitement remplit l’une de ces conditions :
En pratique et comme rappelé précédemment, chaque entreprise traite des données à caractère personnel de manière quotidienne et structurelle et doit donc tenir un tel registre.
(Article 30 du règlement RGPD)
Ce registre, dont la CNIL met à disposition un modèle utilisable gratuit, doit contenir notamment :
A ces deux obligations s’ajoute celle de désignation d’un délégué à la protection des données (DPD ou DPO en anglais pour Data Protection Officer).
(Article 37 du règlement RGPD)
Toute entreprise de plus de 250 salariés est tenue de désigner un Délégué à la Protection des Données (DPD). Pour les entreprises de moins de 250 salariés, la désignation d’un DPD demeure obligatoire lorsque :
(Article 37 du règlement RGPD)
Lors du G29, Conseil réunissant l’ensemble des autorités compétentes similaires à la CNIL au niveau européen, la notion d’activité principale/ de base a été précisée :
« Les « activités de base » peuvent être considérées comme les opérations essentielles pour atteindre les objectifs du responsable du traitement ou du sous-traitant . Elles comprennent également toutes les activités pour lesquelles le traitement de données fait partie intégrante de l’activité́ du responsable du traitement ou du sous-traitant.
Par exemple, le traitement des données concernant la santé telles que les dossiers médicaux des patients doit être considéré comme l’une des activités de base des hôpitaux, et ces derniers doivent donc désigner un DPD.
En revanche, tous les organismes exercent certaines activités de soutien comme la rémunération de leurs employés ou les activités d’assistance informatique classiques. Ces activités constituent des exemples de fonctions de soutien nécessaires à l’activité́ de base ou principale de l’organisme.
Bien que ces activités soient nécessaires ou essentielles, elles sont généralement considérées comme des fonctions auxiliaires plutôt que comme l’activité́ de base. »
Les simples opérations de gestion du personnel ne sont donc pas normalement comptées comme déclenchant l’obligation de désignation d’un DPD : un examen au cas par cas de l’activité de l’entreprise doit être effectué.
Pour une plus grande souplesse, le règlement précise qu’un groupe d’entreprises peut désigner un seul délégué à la protection des données, à condition qu’il soit facilement joignable à partir de chaque lieu d’établissement.
(Article 37 du règlement RGPD)
Les missions du délégué à la protection des données sont « au moins » les suivantes :
(Article 39 du règlement RGPD)
Il doit être souligné que le DPO ne peut être sanctionné ou pénalisé par l’employeur, directement ou indirectement, pour des faits relatifs à l’exercice de ses missions.
(Article 38 du règlement RGPD)
Il n’est toutefois pas, à ce jour, un salarié protégé au sens du Code du travail.
Même si cela n’est pas obligatoire, la désignation d’un DPD est recommandée par la CNIL aux employeurs. Ce dernier peut en effet s’avérer être un partenaire efficace pour accompagner l’employeur dans la mise en place des nouveaux outils propres à satisfaire les exigences européennes.
Emmanuelle DESTAILLATS