Les impacts du règlement européen relatif à la protection des données personnelles (RGPD) en droit social : la responsabilité des entreprises

Depuis le 25 mai 2018, le règlement général relatif à la protection des données (RGPD 2016/679 du 27 avril 2016) est entré en vigueur. Ce règlement a pour objectif le respect des droits et libertés des individus et il concerne toutes les entreprises qui collectent, traitent et stockent des données personnelles.

Bien qu’il n’existe pas de dispositions particulières concernant l’application du RGPD en droit social, il appartient aux Etats membres de définir comment appliquer le règlement dans cette matière.

Les sanctions pour non conformité au RGPD sont sévères et deux ans après l’entrée en vigueur du règlement, beaucoup d’entreprises doivent encore se mettre à jour.

Les impacts pour les salariés d’une entreprise sont importants et les employeurs doivent être en conformité avec le RGPD sous peine d’encourir les sanctions prévues.

Les salariés en contrat de portage salarial sont aussi concernés. Qu’ils travaillent dans les locaux de leur entreprise cliente ou non ils partagent avec leur client des informations personnelles qui peuvent relever de la protection imposée par règlement.

Retour sur les obligations et les sanctions imposées par le RGPD.

Ce qu’il faut savoir :

• Le RGPD est entré en vigueur le 25 mai 2018.
• C’est la CNIL qui vérifie et contrôle la conformité des entreprises au RGPD.
• Les responsables de traitement et les sous-traitants peuvent être sanctionnés sévèrement en cas de manquement aux dispositions du règlement : mise en demeure, suspension des flux de données, avertissement, etc.

Les évolutions entre 2018 et 2024 :

Jusqu’en 2018, la CNIL jouait le rôle de conciliateur, ne sanctionnant que très rarement les organismes ne respectant pas le RGPD.

Aujourd’hui, le rôle de la CNIL se durcit et elle n’hésite plus à sanctionner sévèrement les entreprises qui ne respectent pas le RGPD. Parmi les entreprises sanctionnées, entre 2018 et 2024, citons :

• CRITEO : 40 000 000 € en 2023
• Groupe Canal+ : 600 000 € en 2023
• Doctissimo : 380 000 € en 2023
• Free mobile : 300 000 € en 2022
• Microsoft : 60 000 000 € en 2022
• Google : 150 000 000 € en 2021
• Facebook : 60 000 000 € en 2021
• Brico Privé : 500 000 € en 2021

Concrètement, de quoi s’agit-il ?

la notion de données personnelles

Le règlement vise à protéger les données dites “personnelles” c’est – à – dire l’ensemble des informations permettant d’identifier une personne.

Cela concerne les éléments suivants :

• nom, prénom ;
• numéro et référence client ;
• numéro de téléphone ;
• numéro d’immatriculation pour la gestion d’un parking ;
• donnée biométrique ;
• numéro de sécurité sociale ;
• date de naissance etc.

Cette liste n’est pas exhaustive et beaucoup d’autres informations permettent de renseigner sur l’identité d’une personne telles que les adresses IP et Mac comme l’a rappelé la Cour de cassation en 2016 (Cass. 1e civ. 3 novembre 2016 n°15-22.595 FS-PB).

la notion de traitement des données personnelles

Ensuite, le règlement vise les données personnelles qui ont fait l’objet d’un traitement, c’est – à – dire : “ une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé. Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions. Un traitement de données doit avoir un objectif, une finalité déterminée préalablement au recueil des données et à leur exploitation ” comme le définit la Commission Nationale de l’Informatique et des Libertés (CNIL).

Le traitement des données peut se faire par différents procédés à savoir : la collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement.

RGPD et droits des salariés : la mise en conformité des entreprises

l’information des salariés

L’application du RGPD par l’employeur suppose que les salariés et salariés portés, soient parfaitement informés de l’usage qui est fait de leurs données personnelles comme le précisent les articles 13 et 14 du RGPD.

Aussi, l’employeur qui traite et collecte les données personnelles d’un salarié doit fournir au salarié au moment où les données sont obtenues, les informations concernant notamment :

• l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;

• les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

• les catégories de données à caractère personnel concernées ;

• la durée de conservation des données ;

• les moyens selon lesquels le salarié peut exercer ses droits ( espace personnel, email, courrier postal…).

A titre d’exemple, un salarié dont certaines données personnelles seraient collectées durant un entretien d’évaluation doit en avoir connaissance à ce moment précis ou au plus tard dans un délai d’un mois à compter de la collecte des informations.

la protection des droits des salariés

Le RGPD énonce différents droits de la personne qui concernent les salariés et les salariés portés. Ces droits doivent être préservés par l’employeur.

Aussi, le RGPD prévoit le droit d’accès, le droit de rectification, ou le droit d’opposition et de suppression.

Récemment le RGPD a été complété par de nouveaux droits tendant à renforcer la protection de la vie privée des personnes. Aussi, le droit à l’oubli, le droit à la portabilité ou encore le droit à la limitation des traitements ont été précisés dans le règlement.

• le droit à l’oubli : il s’agit du droit pour une personne d’obtenir l’effacement total du traitement de ses données (article 17 RGPD).

Le salarié ou le salarié porté peut donc obtenir de l’employeur ou l’entreprise cliente l’effacement des informations le concernant. En outre, les informations recueillies durant les phases de recrutement d’une entreprise doivent être supprimées sauf accord des candidats de les conserver pendant une durée limitée.

• le droit à limitation d’un traitement : il s’agit pour une personne de demander à ce que l’utilisation de ses données personnelles soit limitée afin que le responsable du traitement n’exploite que certaines données collectées (article 18 RGPD).

• le droit à la portabilité : il s’agit du droit pour une personne d’obtenir et de réutiliser, les données la concernant pour ses besoins personnels sous certaines conditions ( article 20 RGPD).

Les mesures à mettre en place pour protéger les données personnelles des salariés

L’employeur est tenu de mettre en place différentes mesures afin de sécuriser les données personnelles des salariés. Parmi ces mesures, les mises à jour informatiques relatives aux anti – virus et logiciels de protection, et autres protections d’accès informatique sont visés.

Enfin, si une entreprise est victime d’une violation de données, elle doit le signaler à la CNIL dans les 72 heures et informer les personnes concernées.

Google analytics et RGPD : coup de théâtre en 2022

En début d’année 2022, la CNIL considérait que Google Analytics n’était pas conforme au RGPD.

Rappelons que Google Analytics est une solution permettant d’obtenir des statistiques très détaillées sur la fréquentation de votre site internet. Google Analytics recueille des données essentielles telles que l’adresse IP, des données de géolocalisation, etc…qui sont transmises par Google aux États-Unis.

Pour la CNIL ces transferts sont illégaux et précise sur son site toutes les conséquences du transfert de ces données personnelles.

Un véritable coup de théâtre pour cet outil très populaire chez les entreprises de toute taille.

Face au risque de perte conséquente du nombre d’utilisateurs, Google a annoncé que la version posant des problèmes de conformité au RGPD laisserait place à une nouvelle version dès le 1er juillet 2023 : Google Analytics 4.

Les sites internet utilisant la version actuelle de Google Analytics, doivent donc être vigilants à utiliser la nouvelle version dès que cela sera possible.

La conformité au RGPD est aujourd’hui fondamentale car la période de transition tolérée par la CNIL est arrivée à son terme. Les sanctions prévues par le RGPD sont des amendes administratives sévères dont le montant est très dissuasif. En effet, les amendes s’élèvent de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, à 2 % jusqu’à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Textes de référence :

• RGPD 2016/679 du 27 avril 2016
• Cass. 1e civ. 3-11-2016 n° 15-22.595 FS-PB
• articles 13 et 14 du RGPD
• article 17 RGPD
• article 18 RGPD
• article 20 RGPD