Contact
Essai gratuit
Actu RH |

8 MIN

Traitements de données RH : le règlement européen qui bouleverse la donne

traitement-donnees
Alexandre Diard
traitement-donnees

Finies les déclarations préalables de traitements de données RH ! C'est la conséquence d'un règlement européen qui entrera en vigueur en 2018. Adopté au printemps dernier, il marque le passage vers une logique de responsabilisation des entreprises et de mise en conformité tout au long de la vie des traitements. Les entreprises doivent dès à présent réinterroger leurs process.

Essai gratuit

La date d'entrée en vigueur peut paraître lointaine. Pourtant les entreprises ont intérêt à se pencher dès à présent sur le nouveau règlement européen sur la protection des données du 27 avril 2016, qui était en discussion depuis 4 ans, et qui sera directement applicable dans les Etats membres à partir du 25 mai 2018. Il concerne l'ensemble des informations personnelles collectées, ce qui signifie que l'ensemble des traitements RH déjà mis en oeuvre à cette date devront être mis en conformité d'ici là aux nouvelles régles édictées par le texte européen.


Moins de déclarations mais une plus grande responsabilisation

La logique à l'oeuvre dans le règlement est triple : transparence, simplification et responsabilisation des acteurs. Premier objectif poursuivi par le règlement, "renforcer les droits des particuliers dans un univers qui a profondément changé en assurant les droits à portabilité des données qui pourront être réutilisées", explique le secrétaire général de la Commission nationale de l'informatique et des libertés (Cnil), Edouard Geffray. Seconde intention dessinée par le texte européen : supprimer toutes les déclarations, ce qui représente un vrai "changement de mentalité", insiste-t-il, avec comme contrepartie "une logique de responsabilisation" articulée autour de trois éléments forts que détaille le secrétaire général de la Cnil :
 
  1. "Les entreprises devront intégrer la protection de la vie privée dès la construction du traitement de données ;
  2. Elles auront l'obligation de s'outiller en interne, notamment en documentant le traitement et les règles de sécurité mises en oeuvre auxquelles pourront avoir les personnes concernées (salariés, clients,...) et la Cnil en cas de contrôle ;
  3. Enfin, l'obligation pour les entreprises de désigner un Délégué à la protection des données qui succèdera à l'actuel Correspondant informatiques et libertés (CIL) qui reste purement facultatif".


Uniformisation des droits européens

Pour Cécile Martin, avocate au sein du cabinet Proskauer, ce règlement est une bonne nouvelle pour au moins deux raisons. D'une part, les droits européens sur ce sujet vont être harmonisés. "Actuellement il existe des différences sur le traitement des données personnelles selon le pays, ce qui n'est pas simple à gérer pour les entreprises multinationales. Avec ce règlement d'application directe, les disparités entre les pays vont être gommées". Avec un bémol toutefois car s'agissant du droit du travail, des dispositions spécifiques pourront être décidées Etat par Etat ( article 88 du règlement). "Le droit français, s'il le souhaite, pourra interpréter certaines dispositions du règlement", en déduit l'avocate.
Second point positif : l'allégement des formalités. "Aujourd'hui, rappelle Cécile Martin, il faut faire une déclaration (normale ou simplifiée) auprès de la Cnil pour l'ensemble des traitements sauf lorsqu'une dispense existe. Pour les données sensibles, une autorisation de la Cnil peut être exigée".

 Essai gratuit

Une conformité tout au long de la vie du traitement

Toutefois, la disparition du process déclaratif va entraîner le respect de nouvelles obligations qui ne seront pas forcément plus simples à gérer pour les entreprises. Car derrière, se profile une responsabilisation accrue des entreprises face aux multiples base de données et informations détenues. "Les entreprises devront mettre en place des processus internes qui permettront de prouver - en cas de contrôle - qu'elles gèrent leurs données de manière conforme. Et les entreprises ont un peu moins de deux ans pour prendre connaissance de ce règlement et mettre en oeuvre leurs politiques internes afin d'être en conformité le jour J", insiste Cécile Martin. Elle recommande d'ailleurs vivement aux entreprises de "s'y mettre tout de suite et, au fur et à mesure, de s'approprier la nouvelle logique de règlement. Ce sera aussi l'occasion de faire le tri dans les multiples traitements et de s'interroger sur les nouveaux traitements mis en oeuvre".

Car c'est bien une autre manière de penser et d'agir qu'on voit poindre derrière le règlement : non plus une conformité à l'instant T, mais une conformité tout au long de la vie du traitement de données. "On sort de l'illusion qu'une simple déclaration suffit pour être en conformité", complète Edouard Geffray. Les entreprises qui ont notamment recours à des dispositifs de vidéosurveillance ou de géolocalisation, ne pourront plus estimer être "dans les clous" car elles ont procédé à la déclaration de ces dispositifs. Elles devront établir une documentation interne pour signaler par exemple le nombre de caméras installées, la durée de conservation des images, etc ".

 

Des salariés mieux informés
L'information des salariés devra également être renforcée notamment sur la durée de conservation des données, les finalités du traitement, les cas de recours vis-à-vis de la Cnil, le code de conduite, la tenue des registres,... "Il faudra rentrer davantage dans le détail car les contrôles s'effectueront principalement a posteriori", poursuit Cécile Martin.

Surtout, les entreprises vont être amenées - dans certains cas - à réaliser des études d'impact sur la vie privée pour les traitements à risque qui manipulent des données sensibles. La Cnil est actuellement en train de recenser la liste de ces informations sensibles. Mais elle se veut rassurante pour les professionnels RH, peu de traitements RH devraient être soumis à une telle obligation.

 Essai gratuit

Le rôle de la Cnil renforcé sur les contrôles a posteriori
Le règlement européen impacte aussi le rôle de la Cnil. Fini le droit de regard préalable, la Cnil va basculer dans un processus de contrôles uniquement postérieurs à la mise en place des traitements de données. "Avec la loi de 1978, nous en étions arrivés à un point où cela n'avait plus de sens d'envoyer une déclaration si derrière les entreprises ne respectaient pas leurs obligations ; la Cnil sera plus efficace sur des contrôles a posteriori", estime Cécile Martin. Ce que confirme le secrétaire général de la Cnil : "Ces formalités préalables ne correspondent plus à la réalité des traitements de fichiers évolutifs. Se demander si on a effectué la bonne formalité ne suffit plus. Notre environnement technologique ne correspond plus à une logique de déclaration préalable. Les entreprises doivent se poser les questions en temps réel. Aujourd'hui la question est d'assurer la protection maximale des données à tout moment et une mise en conformité permanente".

Un changement qui était toutefois en germe depuis un certain temps. Aujourd'hui, constate Edouard Geffray, la Cnil reçoit plus de demandes de conseils que de déclaration, même si elle reçoit encore 100 000 déclarations par an ! La Cnil va ainsi renforcer son rôle d'accompagnement, mais également de labellisation.

 

Adieu aux correspondants informatique et liberté, bienvenue aux délégués à la protection des données !
Avec l'évolution de la Cnil, c'est aussi les missions des Correspondants informatiques et libertés (CIL) qui vont évoluer. De nouveaux "Délégués à la protection des données vont voir le jour. C'est l'un des chantiers prioritaires actuels de l’Association Française des Correspondants en Données Personnelles (AFCDP). Créée en 2004, elle regroupe près de 2 000 CIL et se veut un lieu d'échanges, de réflexions et de représentation des CIL.

Les "futur ex CIL" vont ainsi devoir "disposer d'un niveau de connaissances supplémentaire et adéquat du nouveau cadre légal et réglementaire", insiste Paul-Olivier Gibert, le président de l'AFCDP. "Il y a aujourd'hui une réflexion sur le niveau minimal de compétences d'un délégué aux données personnelles et sur les risques éventuels de conflits d'intérêts lorsque le délégué aux données personnelles exerce en parallèle d'autres fonctions qui pourraient potentiellement entrer en opposition avec ses fonctions de délégué". Pour l'AFCDP, il y a là "un enjeu majeur d'accompagnement" de ses adhérents". Des guides de bonnes pratiques sont d'ailleurs en cours de rédaction.
De son côté, la Cnil mettra elle aussi des outils à leur disposition. "Toutes les entreprises qui ont un CIL peuvent déjà bénéficier d'une mise à niveau ; nous mettrons aussi en ligne des modules sur Internet afin que les entreprises puissent se tester", assure Edouard Geffray.

 Essai gratuit

Des sanctions renforcées
Ces nouvelles mesures vont aussi s'accompagner d'un renforcement des sanctions qui pourront atteindre de 2 à 4% du chiffre d'affaire de l'entreprise. Par ailleurs, souligne Edouard Geffray, "lorsque les traitements seront transnationaux avec, par exemple, une RH centralisée au niveau européen, un guichet unique sera mis en place pour l'entreprise ; la "Cnil" du pays sera la "Cnil" de référence. Et en cas de sanction, une procédure européenne sera appliquée.

Des obligations renforcées en cas de perte ou de vol de données
Les entreprises vont être davantage responsabilisées également en cas de perte ou de vol de données. "Jusqu'à présent l'obligation d'informer les clients ne concernaient que les opérateurs téléphoniques ; c'est désormais étendu à tout type d'entreprise. Si un ordinateur portable est volé ou perdu, l'entreprise devra avoir un process interne pour le déclarer à la Cnil dans les 72 heures si cela risque de porter atteinte aux droits et libertés des salariés ou des clients", explique Cécile Martin. L'entreprise devra remplir une fiche et préciser le type de données traitées, qui a accès aux données, les personnes concernées par le vol. Elle devra tout de suite prendre les mesures de sécurité nécessaires. Dans certains cas, l'employeur pourra également être dans l'obligation d'en informer ses salariés.

En somme, "l'entreprise va devoir gérer les failles de sécurité". Autant dire que toute perte d'un smartphone d'un collaborateur risquera d'entraîner de lourdes conséquences si le téléphone ne peut pas être bloqué !

La sécurité informatique est déjà centrale ; elle va devenir un enjeu majeur dans les entreprises. "80% des contrôles que nous réalisons débouchent sur des observations et des mises en demeure qui comportent des aspects de sécurité : mots de passe, protocoles non chiffrés, bases de données obsolètes,...", précise ainsi Edouard Geffray.

► La section du droit à la vie privée de l’IAPP propose de suivre un webinar sur "Les 10 conséquences pratiques les plus importantes du RGPD le 13 octobre 2016 de 16 heures à 17 heures.

En présence de : Chantal Bernier, ancienne commissaire à la protection de la vie privée du Canada ; conseillère juridique pour la protection de la vie privée et la cybersécurité, Dentons, Yann Padova, commissaire à la Commission de régulation de l’énergie (France) ; ancien secrétaire général de la Cnil et Florence Raynal, responsable du Service des affaires européennes et internationales à la Cnil

 Essai gratuit
 
 Florence Mehrez
  editions-legislatives