RGPD et RH

C’est le jour J !! A partir d’aujourd’hui 25 mai 2018 la règlementation RGPD entre en vigueur et toutes les entreprises doivent s’être mises en conformité avec la loi.

Au niveau RH, cela implique avant tout un changement de process, mais c’est aussi la garantie pour les salariés que leurs données personnelles ne seront utilisées qu’à des fins RH, et qu’elles seront gérées, conservées, protégées et in fine détruites.
Faut-il le voir comme un « fléau » ou un poids pour l’entreprise ? Non évidemment, d’autant plus que cela va pouvoir renforcer la marque employeur de l’entreprise et rassurer les collaborateurs sur la gestion de leurs données personnelles.

Le RGPD en synthèse

Toute entreprise ayant des employés résidant dans l’Union Européenne doit s’y conformer, même si le siège de la société n’y est pas installé. De plus, les exigences du RGPD s’appliqueront directement aux fournisseurs tiers qui traitent les données personnelles des salariés (les sous-traitants de données) pour le compte de leurs clients (les responsables de traitement), qui doivent également s’y conformer.
Ces exigences étendues vont transformer l’organisation et la gestion des procédures liées aux données salariés ainsi qu’aux droits de ces derniers.

Par exemple : l’obtention du consentement des salariés, les transferts de données salariés à l’étranger, et des mesures générales de sécurité et de contrôle sur la data.

La fonction RH doit mettre en œuvre du temps et des ressources pour s’assurer de sa conformité vis-à-vis de cette loi. Parmi elles, des mesures renforcées pour lutter contre les failles de sécurité, une nouvelle définition de la donnée personnelle, des droits des employés étendus, et la création potentielle d’un nouveau métier, lié à la protection des données en entreprise (Data Protection Officer).
Les risques en cas de non-conformité sont très lourds. Les sociétés non conformes feront face à des pénalités très importantes. Les amendes peuvent s’élever jusqu’à 20 millions d’euros, ou jusqu’à 4% du chiffre d’affaires global annuel d’une entreprise. De plus, les salariés pourront intenter des poursuites directes, y compris en justice, directement contre leur employeur.

En résumé, avec la mise en œuvre du règlement européen « à la CNIL », les entreprises doivent maintenant :

• Limiter la collecte des données personnelles au strict minimum nécessaire,
• Obtenir et conserver le consentement des citoyens
• Sécuriser les données collectées

La RGPD dans les entreprises

Le RGPD va modifier de nombreux points des pratiques des entreprises en matière de protection des données.

L’un d’entre eux est l’obligation de tenir un registre de traitements. Les traitements ne devront plus être déclarés auprès de la CNIL, ce qui obligera les entreprises à observer scrupuleusement le RGPD puisque la charge de la preuve sera inversée.

Il n’appartiendra plus à la CNIL de relever les écarts à la loi, mais à l’entreprise de prouver sa conformité lors des contrôles.
Hormis cela, si les données personnelles sont traitées par un sous-traitant, le registre devra avoir deux niveaux de lecture. Outre le registre de traitements « classique » tenu pas le responsable de traitement, le sous-traitant doit également tenir un registre des catégories de traitement de données personnelles.

Par ailleurs on peut parler de responsabilisation accrue de chaque entreprise / organisme face à la protection des données personnelles. Cette gouvernance impacte en profondeur les process de conception et de traitement, notamment du fait que le RGPD impose le respect du « Privacy by design » (prise en compte de la protection de la vis privée dès la conception) et du « Privacy by default » (garantie du plus haut niveau de protection possible).

Chaque entreprise / organisme contrôlé devra pouvoir prouver qu’un projet, depuis sa conception jusqu’à sa mise en œuvre, a pris en compte le respect et la protection de la vie privée.Le terme gouvernance désigne un ensemble de procédures, à savoir l’ensemble des procédures internes et bonnes pratiques organisationnelles ayant pour but de sensibiliser chaque personnel de l’entreprise à l’importance de la protection et de la confidentialité des données. Cette nouvelle forme de gouvernance est le reflet de la notion « d’accountability » définie par le RGPD, à savoir l’obligation pour les entreprises de « mettre en place des mécanismes et procédures internes permettant de démontrer le respect des règles relatives à la protection des données ». Enfin, le RGPD impose aux entreprises de traiter rapidement les demandes de réclamation, en particulier celles qui seraient faites par des personnes mineures, avec un délai de réponse réduit de deux mois à un mois.

Le respect des obligations

En synthèse, le RGPD vient apporter de nouvelles obligations. Toute la difficulté sera de prouver le respect de ces obligations. Il faudra donc concevoir des process affirmant le caractère probant du respect des notions établies par le RGPD.

Le domaine de la preuve a aussi été élargi. En effet, la preuve concerne toutes les notions relatives à la protection des données. Ainsi, les entreprises et organismes devront facilement prouver la véracité des informations délivrées aux personnes, la légalité du processus d’obtention des données personnelles sensibles (conscience, consentement libre et éclairé…), et bien entendu les respect des droits des personnes, notamment le droit à la vie privée.

Le délégué à la protection des données ou DPO occupe une place très importante dans le RGPD. Le règlement lui confère de lourdes fonctions, il supervise le respect de la conformité de l’entreprise / organisme au RGPD. Dans certains cas sa désignation est obligatoire. On perçoit ici la volonté de positionner le DPO au cœur du data mapping de l’entreprise / organisme. De par ses connaissances et ses qualités professionnelles, il est le garant de la mise en conformité de l’organisme avec le RGPD et sensibilise également le personnel au respect des règles de la protection des données.

Alors ? Vous êtes prêt(e)s ?

Chez Azuneed on donne l’exemple et on vous invite à consulter nos CGV : conditions-generales-de-vente

Sources de l’article :

• Le texte intégral de la loi RGPD : https://droit-finances.commentcamarche.com/download/telecharger-440-rgpd-2018-texte-du-rgpd
• Les conseils de la CNIL : https://www.cnil.fr/fr/rgpd-en-pratique