Données personnelles des salariés : comment assurer leur conformité avec le RGPD ?

"Les entreprises, en particulier les PME, n'ont en général rien fait pour adapter leur service RH à l'entrée en vigueur du RGPD, explique Emilie Meridjen, avocate au sein du cabinet SVZ. Elles sont souvent démunies face à ce nouveau texte, ou ne connaissent tout simplement pas son existence." L'avocate animait la semaine dernière une conférence ayant pour thème la mise en conformité "en urgence" des traitements de données RH avant l'entrée en vigueur du Règlement général sur la protection des données personnelles (RGPD), le 25 mai 2018.

Nul besoin de céder à la panique. "Je pense que la Cnil [Commission nationale informatique et libertés] sait très bien que tout le monde ne sera pas prêt le 25 mai." D'autant plus que le règlement "semble principalement écrit pour des entreprises comme Facebook, avec leurs multiples questions de confidentialité des utilisateurs", renchérit son confrère Thibault Lancrenon, spécialiste en droit de la propriété intellectuelle du cabinet Triptyque avocats. Le RGPD s'applique en effet à un grand nombre de domaines, et ne prévoit presque aucune mesure spécifique au contexte du travail. Le soin est laissé aux Etats membres de régler eux-même la question. Pourtant, le projet de loi sur la protection des données, qui vient d'être adopté en deuxième lecture par les députés le 12 avril, n'envisage que peu d'adaptations pour le domaine du travail.

C'est donc au RGPD qu'il convient de se référer pour déterminer quelles actions peuvent être mises en oeuvre afin d'anticiper un contrôle de la Cnil.

Actuellement, les relations entre les entreprises et la Cnil sont rythmées par un ensemble de déclarations, demandes d'autorisation et dispenses particulières. Avec le RGPD, la logique change : le responsable de traitement - ici l'employeur - n'a plus à déclarer ses traitements de données personnelles à la Cnil, mais il doit pouvoir prouver à tout moment que les traitements qu'il organise sont justifiés. Le RGPD est donc une opportunité de s'interroger sur la pertinence des données collectées auprès des salariés.

"Dans 90 % des cas, observe Thibault Lancrenon, les données collectées par les RH ne sont pas nécessaires au regard des finalités poursuivies. On prend souvent l'habitude de collecter de façon plus large que ce dont on a besoin, juste au cas où. Demain, il faudra limiter au maximum les données recensées : il n'est pas nécessaire, par exemple, de collecter auprès des candidats à un recrutement des données n'ayant rien à voir avec le poste. Certains logiciels RH prévoient énormément de champs à renseigner sur les salariés. Il ne faut pas remplir ceux qui n'apparaissent pas nécessaires."

Les données collectées doivent avoir des finalités précises et détaillées, que l'employeur doit justifier. Par exemple, la collecte des photos des salariés pour alimenter l'annuaire de l'entreprise. La finalité doit aussi être légitime, c'est à dire reposer sur l'une des six bases légales de traitement prévues par le RGPD. Parmi ces bases, on retrouve le consentement, qui est fortement déconseillé pour justifier un traitement RH. "Les directives du G29 précisent que dans le contexte du travail, le consentement ne peut en général pas être donné de façon libre par un salarié, sauf lorsque cela n'a aucun impact sur sa carrière." Dès lors, les seules justifications fiables pour les traitements de données sont la base légale (si certaines informations sont demandées par le code du travail, le code de la sécurité sociale où une législation spécifique) et l'intérêt légitime de l'employeur, qu'il convient de justifier précisément.

Gestion du personnel

La gestion des ressources humaines (ou gestion du personnel) recouvre plusieurs domaines intéressant les RH :

- Le recrutement et la gestion de carrière (dont la formation professionnelle est un pan important) ;
- La gestion administrative du personnel ;
- La paie et la politique de rémunération et des avantages sociaux ;
- Les relations sociales.

La gestion des ressources humaines (ou gestion du personnel) recouvre plusieurs domaines intéressant les RH :

- Le recrutement et la gestion de carrière (dont la formation professionnelle est un pan important) ;
- La gestion administrative du personnel ;
- La paie et la politique de rémunération et des avantages sociaux ;
- Les relations sociales.

Découvrir tous les contenus liés

Les entreprises d'au moins 250 salariés doivent tenir à jour un registre des activités de traitement. "Si la Cnil vient faire un contrôle dans l'entreprise, explique Thibault Lancrenon, tenir un registre  est le seul moyen de savoir quels traitements sont gérés et sur quelle base". Pour chaque traitement de données, le responsable de traitement doit lister :

• les coordonnées du responsable de traitement (et du délégué à la protection des données le cas échéant) ;
• les finalités du traitement ;
• les catégories de personnes concernées et catégories de données à caractère personnel ;
• les catégories de destinataires des données personnelles ;
• les transferts de données à caractère personnel vers un pays tiers (le cas échéant) ;
• les délais prévus pour l'effacement des différentes catégories de données ;
• une description générale des mesures de sécurité techniques et organisationnelle.

L’appel expert répond aux questions juridiques des professionnels RH

Je télécharge gratuitement

Certains traitements orchestrés par l'entreprise peuvent présenter des "risques élevés pour les droits et libertés" au sens du RGPD. Si tel est le cas, le responsable de traitement doit réaliser une analyse d'impact qui décrit le traitement et ses finalités, évalue sa nécessité et sa proportionnalité, évalue les risques pour les droits et libertés des personnes et prévoit des mesures pour limiter ces risques.

►La CnilL prévoit un logiciel libre, PIA pour mettre en place une analyse d'impact.

• Quels traitements sont concernés ?

Le G29, organisation regroupant l'ensemble des "Cnil" européennes, donne neuf facteurs qui doivent mettre la puce à l'oreille des responsables de traitement : si un traitement satisfait à au moins deux critères, la nécessité de faire une analyse d'impact est démontrée (voir lignes directrices du G29 adoptées le 4 avril 2017, page 10).

Le cabinet SVZ donne plusieurs exemples de traitements RH possiblement à risques : surveillance des réseaux sociaux des salariés, analyse des pages de réseaux sociaux des candidats à un emploi, cybersurveillance des outils, gestion du temps de présence (badges, géolocalisation, tachygraphe...), vidéosurveillance, transferts de données hors Union européenne (par exemple si un prestataire de l'entreprise se trouve hors UE), etc.

• Quand faut-il consulter la Cnil ?

Le responsable de traitement ou son sous-traitant doit consulter la Cnil avant la mise en oeuvre du traitement lorsque l’analyse d’impact indique que le traitement "présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque" selon le projet de loi relatif à la protection des données. Une telle consultation est aussi imposée lorsque le type de traitement - en particulier en raison de l’utilisation de nouveaux mécanismes, technologies ou procédures - présente des risques élevés pour les libertés et les droits des personnes concernées.

Le RGPD impose que les personnes dont les données personnelles sont collectées - ici les salariés - reçoivent une longue liste d'informations, recensées aux articles 13 et 14 du RGPD. Ces informations doivent être données au salarié au moment où il fournit des données personnelles, dans le cas où ces dernières sont collectées directement auprès de lui (lors de son embauche par exemple). Si les données sont collectées de façon indirecte, par le biais d'une autre source, les informations doivent être données au salarié au maximum un mois plus tard. Les informations n'ont pas à être données si la personne concernée en dispose déjà.

"Le RGPD impose aux entreprises de revoir les mentions "Informatique et libertés" et les documents d'information fournis aux salariés, avertit Emilie Meridjen. Il ne précise pas comment informer les salariés, mais à priori une mention dans le contrat de travail resterait insuffisante, en plus d'alourdir le contrat. Nous recommandons d'inscrire au contrat de travail une simple mention générique sur la collecte de données personnelles, et de renvoyer pour le détail à un formulaire détaillé signé par le salarié. Ces modifications doivent être réalisées non seulement pour les nouveaux embauchés, mais également pour les salariés déjà présents à l'effectif. En outre, la charte informatique ainsi que le règlement intérieur devraient être mis à jour et actualisés dès qu'un nouveau traitement est mis en place."

• Droit d'accès et de rectification

Le salarié doit pouvoir obtenir confirmation que des données à caractère personnel le concernant sont ou ne sont pas traitées. Lorsqu'elles le sont, il doit pouvoir avoir accès à ces données ainsi qu'à certaines informations sur leur traitement, listées à l'article 15 du RGPD. "la communication gratuite des données (s'agissant d'une première communication) doit être réalisée dans un délai d'un mois, note Emilie Meridjen. Ce délai est plus court qu'auparavant, c'est pourquoi il faut revoir les processus internes de gestion des données."

Le droit de rectification, lui, n'est pas nouveau, et ne pose pas de difficultés particulières en matière de ressources humaines. "Le salarié doit pouvoir modifier par exemple son adresse en cas de déménagement, explique Thibault Lancrenon. L'entreprise doit notifier ce changement à tous les organismes à qui elle a transmis les données, ce qui peut être difficile si l'on ne trace pas suffisamment à qui sont elles sont communiquées."

• Droit d'opposition

"La Cnil regarde de près si la procédure de droit d'opposition est respectée par les entreprises" selon Thibault Lancrenon. Une personne physique peut s'opposer à la collecte de ses données réalisée à des fins de prospection, ou au titre de l'intérêt légitime de l'entreprise. Cette dernière doit alors arrêter de traiter les données concernées, à moins qu'elle n'invoque des "motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêt et les droits et libertés de la personne concernée" ou si les données sont nécessaires à la défense des droits en justice.

• Droit à l'oubli : limiter la durée de conservation des données

Le salarié peut en théorie demander à l'entreprise d'exercer son droit à l'oubli (article 17 du RGPD). Mais les conditions à remplir sont nombreuses : les données personnelles ne doivent plus être nécessaires à la finalité, l'intérêt légitime de l'entreprise sur lequel se fondait le traitement de données doit avoir disparu, etc. De manière générale, il convient tout de même de prévoir pour chaque traitement une durée précise de conservation des données, calquée sur le droit du travail ou les recommandations de la Cnil. "Les entreprises doivent s'assurer que les durées prévues sont respectées, par des mécanismes de purge automatique ou d'alerte. Dans ce cadre il peut être intéressant de réaliser des investissements logiciels", conseille Thibault Lancrenon.

Certaines durées très longues de conservation peuvent être justifiables, selon le cabinet SVZ, en particulier concernant le droit à la défense de l'employeur. Les pièces liées aux accidents du travail peuvent ainsi être conservées dix ans, et les données individuelles comme la lettre de licenciement doivent être conservées sans limite de durée en cas de contentieux.

"Jusqu'ici, les contrats avec les sous-traitants ne comportaient qu'une clause sur la confidentialité qui ne représentaient pas grand chose. Désormais il faut vraiment s'intéresser à la façon dont les données des salariés sont protégées. La Cnil a annoncé qu'elle allait contrôler cela très vite, dès mai 2018." L'entreprise est responsable juridiquement de la conformité de son traitement avec le RGPD. Le contrat avec le sous-traitant doit ainsi garantir une série d'engagements listée à l'article 28 du RGPD.

Protection des données personnelles - 2ème édition

Réussir sa mise en conformité

Découvrir