RGPD – de la nécessité d’aborder une démarche spécifique en droit du travail

Le règlement général sur la protection des données (RGPD  ou GDPR en anglais) entre en vigueur en France le 25 mai 2018. Il modifie significativement la réglementation sur le traitement (collecte, enregistrement, transfert, ect) des données personnelles - c’est à dire sur toute information permettant d’identifier directement ou indirectement une personne physique...

Le règlement général sur la protection des données (RGPD ou GDPR en anglais) entre en vigueur en France le 25 mai 2018. Il modifie significativement la réglementation sur le traitement (collecte, enregistrement, transfert, ect) des données personnelles - c’est à dire sur toute information permettant d’identifier directement ou indirectement une personne physique...

Par exemple, un annuaire du personnel permettant d’identifier les salariés (noms, prénoms, photos), leurs fonctions, leurs coordonnées professionnelles constitue, à l’évidence un traitement de données personnelles.

En France, les principaux impacts de cette réglementation sont la suppression du principe de déclaration préalable auprès de la CNIL, remplacé par une obligation pour l’entreprise de démontrer la conformité de ses systèmes de traitement, avec un renforcement des sanctions applicables dans ce contrôle a posteriori, la création d’un délégué à la protection des données personnelles (remplaçant l’ancien CIL) ou encore l’obligation de notifier les violations de données personnelles.

Pour se mettre en conformité, les entreprises doivent aborder l’aspect juridique, avant la mise en œuvre technique, avec un soin particulier à apporter sur le traitement de données RH, que ce soit au stade du recrutement, de l’exécution du contrat ou de sa rupture.

Trois illustrations pour s’en convaincre.

Premièrement, le règlement européen permet aux Etats membres de prévoir par la loi ou au moyen de convention collective, des règles spécifiques relatives au traitement des données à caractère personnel des employés dans le cadre des relations de travail.

C’est bien la reconnaissance de la spécificité du droit du travail en matière de protection des données personnelles, étant rappelé que les dispositions du Code du travail sur la proportionnalité des moyens de contrôle, la nécessité de consulter les élus et l’information préalable des salariés perdurent (par exemple vidéosurveillance, géolocalisation).

Deuxièmement, l’information individuelle du salarié sur les données collectées est renforcée. S’ajoutent aux informations déjà nécessaires (responsable de traitement, finalité du traitement, catégories de données, destinataires des données, existence de transfert hors UE, etc.) de nouvelles indications : la base juridique du traitement, les coordonnées du délégué à la protection des données, la source des données, la durée de conservation, le droit d’accès et le droit à l’oubli.

Ces informations portent sur les données personnelles collectées auprès de la personne, mais aussi sur celles qui sont collectées par l’employeur auprès de tiers (trésor public, assurance maladie).

L’information délivrée, qui doit être concise, intelligible accessible et transparente, requiert en pratique un nombre considérable de précisions. Cela impose de revoir la rédaction des contrats de travail, de la charte informatique et sans doute de créer d’autres documents internes au sein de l’entreprise (charte des données personnelles, procédés de création de nouveaux traitements, gestion des droits d’accès, etc.).

Ces nouvelles obligations annoncent de nouveaux contentieux, si l’employeur ne délivre pas ou mal ces informations, ou qu’il fait un usage contraire à la finalité du traitement.

La troisième illustration porte sur la question de la durée de conservation des données.

Les données traitées doivent être conservées sous une forme permettant l’identification des personnes, pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Cette exigence impose donc à l’employeur une réflexion mêlant la protection des intérêts de l’entreprise, avec la finalité du traitement et la condition de proportionnalité. Si une obligation spécifique de conserver des informations pendant une certaine durée (ex : recrutement, accidents du travail …) est imposée à l’employeur, cette limite pourra naturellement être retenue. A défaut la durée de la prescription semble être une référence acceptable.

 

Quelle durée de prescription retenir pour chaque type de données ? S’agissant par exemple de la rémunération, la prescription est de trois ans. Mais dans le cadre d’une action fondée sur des faits de discrimination, le salarié pourra remonter 5 ans en arrière, voire 6 ans s’il agit sur le plan pénal.

Ces trois illustrations démontrent l’importance d’adopter une approche rigoureuse en droit du travail au moment de mettre l’entreprise en conformité avec le RGPD. La réglementation étant fondée sur un contrôle a posteriori, de nouveaux contentieux vont apparaître sur le droit d’accès par exemple ou le droit à l’oubli qui viendront immanquablement sanctionner l’entreprise négligente sur la mise en conformité de ses traitements.

 

Alexandre Duprey avocat senior associate Capstan Avocats

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

Arnaud Laurent (We Sprint) : “Notre métier d’incubateur est celui d’un micro fonds”

Arnaud Laurent (We Sprint) : “Notre métier d’incubateur est celui d’un micro fonds”

Avec son incubateur régional WeSprint, Arnaud Laurent cherche à accélérer la croissance des jeunes sociétés créées en Occitanie. En échange d’un pourc...

L’immobilier de bureau parisien continue sur sa lancée

L’immobilier de bureau parisien continue sur sa lancée

Les bureaux franciliens sont toujours aussi prisés. La demande placée continue de s'accroître à un rythme important. Le secteur a connu en ce début d’...

Premier trimestre morose pour les ventes de logement neufs

Premier trimestre morose pour les ventes de logement neufs

Après une augmentation des ventes en 2017, les logements neufs ont du mal à trouver preneur en ce début d’année, selon la FPI. En cause, la baisse sig...

A.Corpas (OneLife) : « Nous essayons d’aller plus loin que la question isolée du type d’actifs »

A.Corpas (OneLife) : « Nous essayons d’aller plus loin que la question isolée du type d’actifs »

Le contrat d'assurance-vie luxembourgeois est réputé pour ses aspects sécurisants. Mais qu'en est-il lorsqu'on souhaite y insérer des actifs non trad...

Bruno Lasserre prend la tête du Conseil d’État

Bruno Lasserre prend la tête du Conseil d’État

L’homme qui a dirigé le gendarme de la concurrence durant douze ans vient d’être nommé vice-président de la plus haute juridiction administrative en C...

Plan de sauvegarde pour les routes nationales

Plan de sauvegarde pour les routes nationales

La ministre des Transports, Elizabeth Borne a dévoilé les nouvelles mesures du gouvernement pour améliorer le réseau routier, dont la dégradation devi...

Alain Calmé (European Camping Group) : « Notre principal défi est de rester une entreprise agile »

Alain Calmé (European Camping Group) : « Notre principal défi est de rester une entreprise agile »

Alain Calmé rejoint le groupe Homair en 2010 afin de porter le projet stratégique de développement du groupe. Depuis son arrivée, European Camping Gr...

J.Barré (Franklin) : « Cela pourrait bien poser un réel problème de rupture de confidentialité et d’égalité de traitement »

J.Barré (Franklin) : « Cela pourrait bien poser un réel problème de rupture de confidentialité et d’...

Parmi les évolutions fiscales entreprises en ce début de quinquennat, l'IFI fait parler de lui, mais il convient de ne pas occulter le vieux serpent d...

s'abonner

Nous ne commercialisons pas vos adresses mail à un tiers.
Nous conservons vos informations personnelles afin de vous adresser les contenus et services que vous avez demandés.
Vous pouvez vous désinscrire à tout moment, simplement et rapidement.

Ne plus afficher ce message