RGPD – de la nécessité d’aborder une démarche spécifique en droit du travail

Le règlement général sur la protection des données (RGPD  ou GDPR en anglais) entre en vigueur en France le 25 mai 2018. Il modifie significativement la réglementation sur le traitement (collecte, enregistrement, transfert, ect) des données personnelles - c’est à dire sur toute information permettant d’identifier directement ou indirectement une personne physique...

Le règlement général sur la protection des données (RGPD ou GDPR en anglais) entre en vigueur en France le 25 mai 2018. Il modifie significativement la réglementation sur le traitement (collecte, enregistrement, transfert, ect) des données personnelles - c’est à dire sur toute information permettant d’identifier directement ou indirectement une personne physique...

Par exemple, un annuaire du personnel permettant d’identifier les salariés (noms, prénoms, photos), leurs fonctions, leurs coordonnées professionnelles constitue, à l’évidence un traitement de données personnelles.

En France, les principaux impacts de cette réglementation sont la suppression du principe de déclaration préalable auprès de la CNIL, remplacé par une obligation pour l’entreprise de démontrer la conformité de ses systèmes de traitement, avec un renforcement des sanctions applicables dans ce contrôle a posteriori, la création d’un délégué à la protection des données personnelles (remplaçant l’ancien CIL) ou encore l’obligation de notifier les violations de données personnelles.

Pour se mettre en conformité, les entreprises doivent aborder l’aspect juridique, avant la mise en œuvre technique, avec un soin particulier à apporter sur le traitement de données RH, que ce soit au stade du recrutement, de l’exécution du contrat ou de sa rupture.

Trois illustrations pour s’en convaincre.

Premièrement, le règlement européen permet aux Etats membres de prévoir par la loi ou au moyen de convention collective, des règles spécifiques relatives au traitement des données à caractère personnel des employés dans le cadre des relations de travail.

C’est bien la reconnaissance de la spécificité du droit du travail en matière de protection des données personnelles, étant rappelé que les dispositions du Code du travail sur la proportionnalité des moyens de contrôle, la nécessité de consulter les élus et l’information préalable des salariés perdurent (par exemple vidéosurveillance, géolocalisation).

Deuxièmement, l’information individuelle du salarié sur les données collectées est renforcée. S’ajoutent aux informations déjà nécessaires (responsable de traitement, finalité du traitement, catégories de données, destinataires des données, existence de transfert hors UE, etc.) de nouvelles indications : la base juridique du traitement, les coordonnées du délégué à la protection des données, la source des données, la durée de conservation, le droit d’accès et le droit à l’oubli.

Ces informations portent sur les données personnelles collectées auprès de la personne, mais aussi sur celles qui sont collectées par l’employeur auprès de tiers (trésor public, assurance maladie).

L’information délivrée, qui doit être concise, intelligible accessible et transparente, requiert en pratique un nombre considérable de précisions. Cela impose de revoir la rédaction des contrats de travail, de la charte informatique et sans doute de créer d’autres documents internes au sein de l’entreprise (charte des données personnelles, procédés de création de nouveaux traitements, gestion des droits d’accès, etc.).

Ces nouvelles obligations annoncent de nouveaux contentieux, si l’employeur ne délivre pas ou mal ces informations, ou qu’il fait un usage contraire à la finalité du traitement.

La troisième illustration porte sur la question de la durée de conservation des données.

Les données traitées doivent être conservées sous une forme permettant l’identification des personnes, pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Cette exigence impose donc à l’employeur une réflexion mêlant la protection des intérêts de l’entreprise, avec la finalité du traitement et la condition de proportionnalité. Si une obligation spécifique de conserver des informations pendant une certaine durée (ex : recrutement, accidents du travail …) est imposée à l’employeur, cette limite pourra naturellement être retenue. A défaut la durée de la prescription semble être une référence acceptable.

 

Quelle durée de prescription retenir pour chaque type de données ? S’agissant par exemple de la rémunération, la prescription est de trois ans. Mais dans le cadre d’une action fondée sur des faits de discrimination, le salarié pourra remonter 5 ans en arrière, voire 6 ans s’il agit sur le plan pénal.

Ces trois illustrations démontrent l’importance d’adopter une approche rigoureuse en droit du travail au moment de mettre l’entreprise en conformité avec le RGPD. La réglementation étant fondée sur un contrôle a posteriori, de nouveaux contentieux vont apparaître sur le droit d’accès par exemple ou le droit à l’oubli qui viendront immanquablement sanctionner l’entreprise négligente sur la mise en conformité de ses traitements.

 

Alexandre Duprey avocat senior associate Capstan Avocats

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

Investissement responsable : la finance au service de la planète

Investissement responsable : la finance au service de la planète

Concilier les intérêts privés et l’intérêt général, c’est le pari de la finance responsable. Un pari de moins en moins fou : reconnus par les pouvoirs...

Vinci et Spie Batignolles décrochent un nouveau lot du Grand Paris Express

Vinci et Spie Batignolles décrochent un nouveau lot du Grand Paris Express

Le groupement emmené par Vinci Construction et Spie Batignolles a remporté le premier lot de génie civil de la ligne 14 sud qui reliera Paris à l’aéro...

#PrivateBanker: quel banquier privé pour une nouvelle ère digitale ?

#PrivateBanker: quel banquier privé pour une nouvelle ère digitale ?

Le 20 mars prochain, plusieurs centaines d'experts de la banque privée se donneront rendez-vous à l'Hôtel Le Royal, à Luxembourg-Ville, pour échanger...

Le PIB Allemand a le vent en poupe

Le PIB Allemand a le vent en poupe

Grâce un commerce extérieur porteur, l’Allemagne a vu son PIB progresser de 2,3 %. Malgré une consommation privée et des investissements qui stagnent,...

Ynsect recherche 100 M€ pour ses scarabées

Ynsect recherche 100 M€ pour ses scarabées

La start-up tricolore spécialisée dans l’élevage de coléoptères destinés à l’alimentation lance sa nouvelle levée de fonds. L’objectif est de faire en...

Snapchat : le P-DG roule sur l’or

Snapchat : le P-DG roule sur l’or

À seulement 27 ans, le P-DG de l’application star Snapchat entre dans l’histoire des dirigeants les mieux payés des États-Unis. En 2017, Evan Spiegel...

Le nouveau siège Total ajourné mais pas bloqué

Le nouveau siège Total ajourné mais pas bloqué

Total doit emménager d’ici à 2022 dans un nouveau siège situé à La Défense. Selon des lettres du préfet d’Île-de-France, Michel Cadot, ce projet est a...

Grand Paris Express : le Gouvernement officialise le nouveau calendrier

Grand Paris Express : le Gouvernement officialise le nouveau calendrier

Édouard Philippe a présenté le nouveau calendrier de réalisation du super métro. Le projet ne bougera pas, mais la livraison des gares s'étalera jusqu...

s'abonner

Nous ne commercialisons pas vos adresses mail à un tiers.
Nous conservons vos informations personnelles afin de vous adresser les contenus et services que vous avez demandés.
Vous pouvez vous désinscrire à tout moment, simplement et rapidement.

Ne plus afficher ce message