01 76 35 08 43 Lun au Ven : 8h30 à 19h
01 76 35 08 43 Lun au Ven : 8h30 à 19h

Les impacts du règlement européen relatif à la protection des données personnelles (RGPD) en droit social : la responsabilité des entreprises

Publié le Wednesday, July 8, 2020 par Anne-Fleur Carabin

Depuis le 25 mai 2018, le règlement général relatif à la protection des données (RGPD 2016/679 du 27 avril 2016) est entré en vigueur. Ce règlement a pour objectif le respect des droits et libertés des individus et il concerne toutes les entreprises qui collectent, traitent et stockent des données personnelles.

Bien qu’il n’existe pas de dispositions particulières concernant l’application du RGPD en droit social, il appartient aux Etats membres de définir comment appliquer le règlement dans cette matière.

Les sanctions pour non – conformité au RGPD sont sévères et deux ans après l’entrée en vigueur du règlement, beaucoup d’entreprises doivent encore se mettre à jour.

Les impacts pour les salariés d’une entreprise sont importants et les employeurs doivent être en conformité avec le RGPD sous peine d’encourir les sanctions prévues.

Les salariés portés sont aussi concernés qu’ils travaillent dans les locaux de leur entreprise cliente ou non puisqu’ils partagent avec leur client des informations personnelles qui peuvent relever de la protection imposée par règlement.

La RGPD en entreprise
data protection and internet security concept, woman user typing password on computer for secured access

Retour sur les obligations et les sanctions imposées par le RGPD.

Ce qu’il faut savoir :

  • Le RGPD est entré en vigueur le 25 mai 2018
  • C’est la CNIL qui vérifie et contrôle la conformité des entreprises au RGPD.
  • Les responsables de traitement et les sous-traitants peuvent être sanctionnés sévèrement en cas de manquement aux dispositions du règlement : mise en demeure, suspension des flux de données, avertissement, etc.
Concrètement, de quoi s’agit-il ?

la notion de données personnelles

Le règlement vise à protéger les données dites “ personnelles ” c’est – à – dire l’ensemble des informations permettant d’identifier une personne.

Cela concerne les éléments suivants :

  • nom, prénom ;
  • numéro et référence client ;
  • numéro de téléphone ;
  • numéro d’immatriculation pour la gestion d’un parking ;
  • donnée biométrique ;
  • numéro de sécurité sociale ;
  • date de naissance etc.

Cette liste n’est pas exhaustive et beaucoup d’autres informations permettent de renseigner sur l’identité d’une personne telles que les adresses IP et Mac comme l’a rappelé la Cour de cassation en 2016 (Cass. 1e civ. 3 novembre 2016 n°15-22.595 FS-PB).

la notion de traitement des données personnelles

Ensuite, le règlement vise les données personnelles qui ont fait l’objet d’un traitement, c’est – à – dire : “ une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé. Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions. Un traitement de données doit avoir un objectif, une finalité déterminée préalablement au recueil des données et à leur exploitation ” comme le définit la Commission Nationale de l’Informatique et des Libertés (CNIL).

Le traitement des données, peut se faire par différents procédés à savoir : la collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement.

RGPD et droits des salariés : la mise en conformité des entreprises

l’information des salariés

L’application du RGPD par l’employeur suppose que les salariés soient parfaitement informés de l’usage qui est fait de leurs données personnelles comme le précisent les articles 13 et 14 du RGPD.

Aussi, l’employeur qui traite et collecte les données personnelles d’un salarié doit fournir au salarié au moment où les données sont obtenues, les informations concernant notamment :

  • l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
  • les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
  • les catégories de données à caractère personnel concernées ;
  • la durée de conservation des données ;
  • les moyens selon lesquels le salarié peut exercer ses droits ( espace personnel, email, courrier postal…).

A titre d’exemple, un salarié dont certaines données personnelles seraient collectées durant un entretien d’évaluation doit en avoir connaissance à ce moment précis ou au plus tard dans un délai d’un mois à compter de la collecte des informations.

La protection des droits des salariés

Le RGPD énonce différents droits de la personne qui concernent les salariés et les salariés portés. Ces droits doivent être préservés par l’employeur.

Aussi, le RGPD prévoit le droit d’accès, le droit de rectification, ou le droit d’opposition et de suppression.
Récemment le RGPD a été complété par de nouveaux droits tendant à renforcer la protection de la vie privée des personnes. Aussi, le droit à l’oubli, le droit à la portabilité ou encore le droit à la limitation des traitements ont été précisés dans le règlement.

  • le droit à l’oubli : il s’agit du droit pour une personne d’obtenir l’effacement total du traitement de ses données (article 17 RGPD).

Le salarié ou le salarié porté peut donc obtenir de l’employeur ou l’entreprise cliente l’effacement des informations le concernant. En outre, les informations recueillies durant les phase de recrutement d’une entreprise doivent être supprimées sauf accord des candidats de les conserver pendant une durée limitée.

  • le droit à limitation d’un traitement : il s’agit pour une personne de demander à ce que l’utilisation de ses données personnelles soient limitée afin que le responsable du traitement n’exploite que certaines données collectées (article 18 RGPD).
  • le droit à la portabilité : il s’agit du droit pour une personne d’obtenir et de réutiliser, les données la concernant pour ses besoins personnels sous certaines conditions ( article 20 RGPD).
Les mesures à mettre en place pour protéger les données personnelles des salariés

L’employeur est tenu de mettre en place différentes mesures afin de sécuriser les données personnelles des salariés. Parmi ces mesures, les mises à jour informatiques relatives aux anti – virus et logiciels de protection, et autres protections d’accès informatique sont visés.

Enfin, si une entreprise est victime d’une violation de données, elle doit le signaler à la CNIL dans les 72 heures et informer les personnes concernées.

La conformité au RGPD est aujourd’hui fondamentale car la période de transition tolérée par la CNIL est arrivée à son terme. Les sanctions prévues par le RGPD sont des amendes administratives sévères dont le montant est très dissuasif. En effet, les amendes s’élèvent de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, à 2 % jusqu’à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Textes de référence :

  • RGPD 2016/679 du 27 avril 2016
  • Cass. 1e civ. 3-11-2016 n° 15-22.595 FS-PB
  • articles 13 et 14 du RGPD
  • article 17 RGPD
  • article 18 RGPD
  • article 20 RGPD
Anne-Fleur Carabin

Directrice d’AD’Missions et passionnée par la transformation du monde du travail, ma mission est d’accompagner nos consultants, par l’intermédiaire du portage salarial. C’est un mode de travail différent qui est adapté à l’entreprise d’aujourd’hui, organisée en mode « projet ». Vous souhaitez échanger sur vos projets ? Rencontrons-nous !

Ajouter un commentaire