Accueil / Dossiers / [Tribune] Impact du RGPD sur les données personnelles des salariés: tous les employeurs sont concernés!
[Tribune] Impact du RGPD sur les données personnelles des salariés: tous les employeurs sont concernés!
Vous pensez que l'activité de votre entreprise n'est pas concernée par le RGPD car vous ne traitez pas les données de consommateurs? Mais qu'en est-il des données personnelles de vos salariés? Sarah Delon-Bouquet et Emmanuelle Mercier, du cabinet Bryan Cave, analysent l'impact du RGPD sur ce point.
Certaines entités se sentent peu concernées par le RGPD, notamment car elles opèrent principalement avec des professionnels, et non des consommateurs (B to B). Cependant, toute entité juridique ayant des salariés en France traite de fait les données personnelles des personnes qu'elle emploie et a donc la qualité de responsable de traitement à cet égard. Ainsi, elle se doit de se mettre en conformité avec le Règlement général sur la protection des données 2016/679 (RGPD). Cet article recense les principales actions à mettre en oeuvre pour assurer la protection des données de ses salariés.
Identifier les finalités de traitement des données des salariés
En cas de contrôle, toute entité doit être en mesure de justifier la finalité du traitement des données de ses salariés. Outre la finalité principale de gestion du personnel, il convient également de déterminer les finalités annexes: par exemple, la gestion de la paie, du remboursement des frais professionnels, des accès aux outils et au réseau informatiques, l'administration du personnel (évaluations, formation professionnelle,...), la gestion des contentieux salariés.
Identifier les fondements juridiques du traitement des données des salariés
La collecte et le traitement de données personnelles ne sont licites que si un des fondements juridiques prévus par le Règlement justifie le traitement. En ce qui concerne les données de salariés, les employeurs pourront se baser sur:
Lire aussi : SIRH : pourquoi intégrer un logiciel de paie moderne
- l'exécution d'un contrat (en l'espèce, le contrat de travail);
- le respect d'une obligation légale (obligations sociales et fiscales de l'employeur);
- les intérêts légitimes poursuivis par l'employeur (par exemple, sécuriser la gestion des ressources humaines, de la paie et du réseau informatique), sous réserve de ne pas contrevenir aux intérêts, libertés et droits fondamentaux des salariés.
Il n'est pas conseillé de se baser sur le consentement du salarié pour traiter de ces données, au vu de la relation de subordination entre l'employeur et le salarié.
Déterminer la durée de conservation des données des salariés
L'employeur doit fournir un certain nombre d'informations aux salariés sur le traitement de leurs données, dont la durée de conservation des données personnelles. Il s'agit d'une nouveauté. Le RGPD impose que la durée de conservation des données soit limitée au minimum nécessaire à la finalité du traitement des données, durée pouvant être rallongée si cela est nécessaire à l'exercice ou à la défense de droits en justice. Ainsi, il est conseillé à l'employeur de prévoir une durée de conservation des données des salariés de cinq ans après la fin de leur contrat de travail (sauf en cas de contentieux initié durant cette période), afin de couvrir les différentes périodes de prescription relatives aux contentieux salariés.
>> Destinataires des données, analyses d'impact, droit à l'oubli... .
Identifier les destinataires internes et externes des données des salariés
Les données des salariés sont-elles transférées à d'autres sociétés du groupe? À des prestataires externes (paie, services IT...)? Hors UE? Dans ce cas, l'employeur doit mettre en place les mesures de protection pour couvrir ce transfert hors UE (clauses contractuelles types conclues avec le destinataire hors UE par exemple).
Les sous-traitants ont, par ailleurs, de nouvelles obligations imposées par le RGPD en matière de protection des données personnelles que les responsables de traitement devront intégrer dans les contrats de traitement de données.
Lire aussi : Transparence salariale : il va falloir s'y mettre !
Évaluer la nécessité de procéder à des analyses d'impact relatives à la protection des données (AIPD)
Les salariés pouvant être considérés comme des personnes "vulnérables"(1) en termes de protection des données personnelles, une étude d'impact ou AIPD pourra être nécessaire avant de mettre en place un traitement si celui-ci est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, notamment s'il entraîne une prise décision automatisée, une surveillance systématique des salariés ou encore si les données traitées sont sensibles ou hautement personnelles.
Droits d'accès, de rectification et "droit à l'oubli" des salariés
Les données des salariés sont sujettes, comme tout autre type de données personnelles, aux droits d'accès, de rectification et "droit à l'oubli" des titulaires de ces données. Concernant le droit à l'oubli d'un ancien salarié cependant, l'employeur peut refuser d'y faire droit si les périodes de prescription relatives aux contentieux salariés ne sont pas encore écoulées par exemple.
Mettre à jour l'information des salariés(2)
Les employeurs doivent veiller à mettre à jour les notes d'informations à destination des salariés les informant de la finalité, du fondement juridique du traitement de leurs données, des destinataires de ces données, de la durée de conservation, de leurs droits (accès, rectification, oubli) et des coordonnées des personnes à contacter concernant leurs données. Cette note devra être remise au plus tard lors de l'entrée en vigueur du RGPD le 25 mai prochain, par exemple avec les bulletins de salaire ou par courriel.
(1) Voir Lignes directrices du Groupe de Travail "Article 29" concernant l'AIPD et la manière de déterminer si le traitement est "susceptible d'engendrer un risque élevé" aux fins du règlement (UE) 2016/679.
(2) Les candidats devront également être notifiés de la collecte et du traitement de leurs données.
Les auteurs
Sarah Delon-Bouquet, counsel chez Bryan Cave (photo) et Emmanuelle Mercier, juriste chez Bryan Cave
Sarah Delon-Bouquet est spécialisée en droit du travail et est coleader de l'équipe des avocats européens en droit du travail de Bryan Cave.
Elle conseille et représente des clients internationaux ayant des activités en Europe et en particulier en France, dans la gestion de leurs questions quotidiennes en droit du travail, contentieuses ou non. Elle conseille également les clients sur les aspects en droit du travail liés aux cessions d'entreprises/d'activité transfrontalières, ainsi que sur leur conformité aux règles européennes et françaises sur la protection des données personnelles et le respect de la vie privée, mais aussi sur les questions relatives aux flux de données transfrontaliers, au transfert de données hors de l'Union européenne et à la mise en oeuvre des mesures protectives.
Pour aller plus loin sur le sujet du RGPD:
[Dossier] RGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données
Comprendre le RGPD: focus sur le principe de limitation de la conservation des données
Comprendre le RGPD: focus sur le principe de transparence et l'information des personnes concernées
Sur le même thème
Voir tous les articles Réglementation