Le règlement général sur la protection des données (RGPD ou GDPR en anglais) entre en vigueur en France le 25 mai 2018. Il modifie significativement la réglementation sur le traitement (collecte, enregistrement, transfert, ect) des données personnelles - c’est à dire sur toute information permettant d’identifier directement ou indirectement une personne physique...
RGPD – de la nécessité d’aborder une démarche spécifique en droit du travail
Par exemple, un annuaire du personnel permettant d’identifier les salariés (noms, prénoms, photos), leurs fonctions, leurs coordonnées professionnelles constitue, à l’évidence un traitement de données personnelles.
En France, les principaux impacts de cette réglementation sont la suppression du principe de déclaration préalable auprès de la CNIL, remplacé par une obligation pour l’entreprise de démontrer la conformité de ses systèmes de traitement, avec un renforcement des sanctions applicables dans ce contrôle a posteriori, la création d’un délégué à la protection des données personnelles (remplaçant l’ancien CIL) ou encore l’obligation de notifier les violations de données personnelles.
Pour se mettre en conformité, les entreprises doivent aborder l’aspect juridique, avant la mise en œuvre technique, avec un soin particulier à apporter sur le traitement de données RH, que ce soit au stade du recrutement, de l’exécution du contrat ou de sa rupture.
Trois illustrations pour s’en convaincre.
Premièrement, le règlement européen permet aux Etats membres de prévoir par la loi ou au moyen de convention collective, des règles spécifiques relatives au traitement des données à caractère personnel des employés dans le cadre des relations de travail.
C’est bien la reconnaissance de la spécificité du droit du travail en matière de protection des données personnelles, étant rappelé que les dispositions du Code du travail sur la proportionnalité des moyens de contrôle, la nécessité de consulter les élus et l’information préalable des salariés perdurent (par exemple vidéosurveillance, géolocalisation).
Deuxièmement, l’information individuelle du salarié sur les données collectées est renforcée. S’ajoutent aux informations déjà nécessaires (responsable de traitement, finalité du traitement, catégories de données, destinataires des données, existence de transfert hors UE, etc.) de nouvelles indications : la base juridique du traitement, les coordonnées du délégué à la protection des données, la source des données, la durée de conservation, le droit d’accès et le droit à l’oubli.
Ces informations portent sur les données personnelles collectées auprès de la personne, mais aussi sur celles qui sont collectées par l’employeur auprès de tiers (trésor public, assurance maladie).
L’information délivrée, qui doit être concise, intelligible accessible et transparente, requiert en pratique un nombre considérable de précisions. Cela impose de revoir la rédaction des contrats de travail, de la charte informatique et sans doute de créer d’autres documents internes au sein de l’entreprise (charte des données personnelles, procédés de création de nouveaux traitements, gestion des droits d’accès, etc.).
Ces nouvelles obligations annoncent de nouveaux contentieux, si l’employeur ne délivre pas ou mal ces informations, ou qu’il fait un usage contraire à la finalité du traitement.
La troisième illustration porte sur la question de la durée de conservation des données.
Les données traitées doivent être conservées sous une forme permettant l’identification des personnes, pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Cette exigence impose donc à l’employeur une réflexion mêlant la protection des intérêts de l’entreprise, avec la finalité du traitement et la condition de proportionnalité. Si une obligation spécifique de conserver des informations pendant une certaine durée (ex : recrutement, accidents du travail …) est imposée à l’employeur, cette limite pourra naturellement être retenue. A défaut la durée de la prescription semble être une référence acceptable.
Quelle durée de prescription retenir pour chaque type de données ? S’agissant par exemple de la rémunération, la prescription est de trois ans. Mais dans le cadre d’une action fondée sur des faits de discrimination, le salarié pourra remonter 5 ans en arrière, voire 6 ans s’il agit sur le plan pénal.
Ces trois illustrations démontrent l’importance d’adopter une approche rigoureuse en droit du travail au moment de mettre l’entreprise en conformité avec le RGPD. La réglementation étant fondée sur un contrôle a posteriori, de nouveaux contentieux vont apparaître sur le droit d’accès par exemple ou le droit à l’oubli qui viendront immanquablement sanctionner l’entreprise négligente sur la mise en conformité de ses traitements.