Les nouvelles technologies sont de plus en plus présentes dans la société et à fortiori en entreprise.
C’est dans ce contexte qu’est intervenu le règlement général sur la protection des données (RGPD), le 25 mai 2018, ce qui a nécessairement entrainé des évolutions de la règlementation Informatique et Libertés, dont l’impact sur la gestion des Ressources Humaines n’était à l’origine pas clair.
En effet, comment l’employeur, responsable du traitement[1]d’une multitude de données personnelles relatives à ses salariés et nécessaires pour satisfaire à ses nombreuses obligations (paie, formation, hygiène et sécurité, etc…), ainsi qu’à son activité : peut-il satisfaire aux nouvelles exigences du RGPD ?
Désormais, la réponse est apportée par la CNIL qui a publié son référentiel tant attendu depuis la fin d’année 2019, en matière de Ressources Humaines, lequel s’adresse aux organismes privés ou publics, quelle que soit leur forme juridique, et encadre la mise en œuvre de leurs traitements courants de « gestion du personnel » afin de les aider dans leurs démarches de conformité.
Dès lors, il incombe à ces organismes qui mettent en place des traitements de gestion du personnel (anciens ou nouveaux) impliquant des données sensibles[2]de s’assurer de leur conformité :
Aux dispositions du Règlement général sur la protection des données (RGPD) ainsi qu’à celles de la Loi Informatique et Liberté (LIL) du 6 janvier 1978 modifiée ;
À l’ensemble des autres règles applicables telles que la législation du travail, les textes régissant la fonction publique, les conventions collectives, etc.
Si l’on remarque que la portée de ce référentiel est la plus générale possible, de sorte qu’il a vocation à s’appliquer aux relations de travail existant entre un employeur et son personnel (CDI, CDD, apprenti, etc…), on notera à ce stade l’exclusion des organisations syndicales, des instances représentatives du personnel, ou encore des services de médecine de travail, ce qui n’est pas sans conséquence.
Si ce dispositif n’est pas contraignant, il permet d’expliciter aux employeurs le cadre réglementaire définit par le RGPD.
Il convient d’adopter une procédure selon les étapes suivantes ;
1. Recenser les traitements aux fins de tenir le registre des traitements
2. S’assurer de la conformité des traitements utilisés
3. S’assurer des mesures de sécurité mises en œuvre pour protéger les données des salariés.
4. Veiller à la mise en place de processus permettant l’exercice des droits des personnes dont les données sont collectées.
Afin de satisfaire aux obligations de conformité découlant du RGPD l’employeur doit se référer au référentiel publié par la CNIL.
I – La licéité des traitements utilisés
I – 1. Principes relatifs au traitement
|
Le traitement a vocation à permettre soit la gestion des ressources humaines, soit le contrôle de l’activité des salariés. |
Tel est le cas pour :
Néanmoins d’autres traitements sont susceptibles d’être réalisés par l’employeur (biométrie, vidéosurveillance, etc..) ; pour lesquels l’employeur devra être particulièrement vigilant lors de leur mise en œuvre.
| ||||
|
Le traitement doit être nécessaire[3] , en ce sens qu’un lien de connexité doit être établi entre le traitement des données personnelles et le contrat du salarié.
En cas de pluralité des finalités du traitement, il appartient à l’employeur de déterminer la base légale la plus appropriée pour chacune d’elles (RGPD, art. 6.1).
A ce titre, le référentiel propose, à titre indicatif, un choix de base légale pour chaque finalité dans un tableau d’exemples, facilitant ainsi la tâche de l’employeur[4].
La détermination de la base légale est primordiale puisqu’elle impacte directement l’exercice de certains droits c’est pourquoi elle doit être portée à la connaissance des salariés concernées par le traitement. |
Ainsi, les bases légales mobilisables pour les traitements RH sont les suivantes :
|
||||
I – 2. Principes liés à la collecte des données
|
L’employeur doit veiller scrupuleusement à ne collecter et n’utiliser que les données pertinentes et strictement nécessaires au regard de ses propres besoins de gestion du personnel et ne doit le faire qu’à partir du moment où ce besoin se concrétise
. Par ailleurs, les données, dont le traitement est justifié pour une finalité déterminée, ne peuvent être réutilisées à d’autres fins que si cette utilisation est elle-même légalement justifiée.
La CNIL invite l’employeur à faire preuve d’une vigilance particulière au regard des données sensibles collectées.[6]
Cette minimisation des données impose à l’employeur d’être en mesure de justifier de la pertinence de chaque donnée présente dans le traitement. |
Le référentiel établi une liste indicative de ces données :
| ||||
B – Les destinataires des données collectées |
Les données personnelles doivent uniquement être rendues accessibles aux personnes habilitées à en connaitre au regard de leurs attributions.
Ainsi, les personnes accédant aux données traitées pour le compte de l’employeur sont les personnes habilitées au titre de leurs missions ou de leurs fonctions et leur accès est strictement limité à leurs attributions respectives et à l’accomplissement de ces missions et fonctions.
Les destinataires des données n’ont pas pour autant la responsabilité du traitement, qui demeure dévolue à l’employeur.
En cette qualité, ce dernier doit s’assurer durant toute la durée de vie du traitement de données personnels mis en œuvre, de la qualité de ces données qui doivent être exactes et mises à jour |
Exemple en interne :
Organismes externes susceptibles d’être destinataires des données des salariés :
|
||||
|
En matière de conservation des données et conformément à l’article 5-1-e) du RGPD, la durée est fixée :
.
Les critères utilisés pour déterminer cette durée, font partie des informations qui doivent être communiquées aux personnes concernées.
Les données doivent être conservées sous une forme permettant l’identification des salariés.
|
Ainsi, les données nécessaires à la gestion du personnel (base active) doivent être conservées pendant la durée de la relation de travail.
Certaines données inhérentes aux salariés peuvent être conservées au-delà de l’expiration du lien contractuel, notamment au regard de dispositions réglementaires spécifiques ou dans l’hypothèse d’un contentieux (prescription/forclusion), tels que :
| ||||
II – La mise en sécurité des données collectées
A – Préserver la sécurité des données à caractère personnel |
Le référentiel CNIL rappelle que l’employeur doit prendre toutes les précautions utiles afin de préserver la sécurité des données à caractère personnel à chaque étape soit au moment de leur collecte, durant leur transmission et pendant leur conservation.
Il doit empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès. |
La CNIL impose à l’employeur soit d’adopter les mesures[7]ci-après décrites ou de justifier d’un mécanisme équivalent.
|
||||
B – Les mesures à adopter |
|
a. Informer et sensibiliser les personnes manipulant les données ; b. Rédiger une charte informatique et lui donner une force contraignante.
|
||||
|
a. Définir un identifiant (login) unique à chaque utilisateur ; b. Adopter une politique de mot de passe utilisateur conforme aux recommandations de la CNIL ; c. Obliger l’utilisateur à changer son mot de passe après réinitialisation ; d. Limiter le nombre de tentatives d’accès à un compte. ;
|
|||||
|
a. Définir des profils d’habilitation ; b. Supprimer les permissions d’accès obsolètes ; c. Réaliser une revue annuelle des habilitations.
|
|||||
|
a. Prévoir un système de journalisation ; b. Informer les utilisateurs de la mise en place du système de journalisation ; c. Protéger les équipements de journalisation et les informations journalisées ; d. Prévoir les procédures pour les notifications de violation de données à caractère personnel.
|
|||||
|
a. Prévoir une procédure de verrouillage automatique de session ; b. Utiliser des antivirus régulièrement mis à jour ; c. Installer un « pare-feu » (firewall) logiciel ; d. Recueillir l’accord de l’utilisateur avant toute intervention sur son poste.
|
|||||
|
a. Prévoir des moyens de chiffrement des équipements mobile; b. Faire des sauvegardes ou des synchronisations régulières des données; c. Exiger un secret pour le déverrouillage des smartphones.
|
|||||
|
a. Limiter les flux réseau au strict nécessaire ; b. Installer sans délai les mises à jour critiques; c. Assurer une disponibilité des données.
|
|||||
|
a. Utiliser le protocole TLS et vérifier sa mise en œuvre ; b. Vérifier qu’aucun mot de passe ou identifiant ne passe dans les url; c. Contrôler que les entrées des utilisateurs correspondent à ce qui est attendu. d. Prévoir et tester régulièrement la continuité d’activité.
|
|||||
|
a. Mettre en œuvre des modalités d’accès spécifiques aux données archivées ; b. Détruire les archives obsolètes de manière sécurisée.
|
|||||
|
a. Enregistrer les interventions de maintenance dans une main courante ; b. Encadrer par un responsable de l’organisme les interventions par des tiers ; c. Effacer les données de tout matériel avant sa mise au rebut.
|
|||||
|
Les relations avec les prestataires qui traitent des données au nom et pour le compte de l’employeur (responsable de traitement) doivent être formalisées par un accord écrit.
Cet accord vise à garantir les obligations respectives des parties eu égard au traitement des données à caractère personnel.
L’accord doit notamment prévoir les conditions de restitution et de destruction des données.
Il incombe au responsable de traitement de s’assurer de l’effectivité des garanties prévues par le biais de réunions régulières, tels que des audits de sécurité, des visites, ou tout autre moyen, etc…
|
|||||
|
a. Chiffrer les données avant leur envoi ; b. S’assurer qu’il s’agit du bon destinataire ; c. Transmettre le secret lors d’un envoi distinct et via un canal différent
|
|||||
|
a. Restreindre les accès aux locaux au moyen de portes verrouillées ; b. Installer des alarmes anti-intrusion et les vérifier périodiquement.
|
|||||
|
a. Proposer des paramètres respectueux de la vie privée aux utilisateurs finaux ; b. Encadrer de manière stricte les zones de commentaires libres ; c. Tester sur des données fictives ou anonymisées.
|
|||||
|
a. Utiliser des algorithmes, des logiciels et des bibliothèques reconnus ; b. Conserver les secrets et les clés cryptographiques de manière sécurisée.
|
|||||
III – Droit des salariés concernés par la collecte de données
|
Dès le stade de la collecte des données personnelles, les personnes concernées (candidats ou salariés) doivent être informées de l’existence du traitement, de ses caractéristiques et des droits dont elles disposent.
Il incombe au responsable du traitement des données de s’assurer du respect des principes prévus par les articles 12, 13 et 14 du RGPD :
|
Si le RGPD n’impose aucune forme spécifique, une information écrite doit être privilégiée de manière à pouvoir justifier de son contenu, ainsi que du moment où elle a été délivrée, le code du travail imposant quant à lui aux employeurs d’informer individuellement leurs salariés.
L’information peut prendre la forme d’une série de mentions obligatoires comprenant :
1. La base juridique du traitement de données au sens du RGPD (ex. : l’exécution d’un contrat de travail entre l’employeur et le salarié) ; 2. Les finalités du traitement, c’est-à-dire les raisons pour lesquelles des données sont collectées (ex. : gestion de la paie, gestion de la carrière…) ;
3. Les catégories de destinataires des données (ex. : organismes publics, instances de représentation du personnel, prestataires informatiques…) ;
4. La durée de conservation des données ou, si ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
5. Les droits de la personne concernée par le traitement (droit d’accès, droit de rectification, droit d’effacement, droit de limitation, droit d’opposition, droit à la portabilité) ;
6. Les coordonnées du responsable de traitement (en principe l’entreprise) et de l’éventuel DPO auprès duquel le salarié peut exercer ses droits ;
7. La possibilité d’introduire une réclamation auprès de la CNIL ;
8. L’existence, le cas échéant, d’un transfert des données en dehors de l’Union européenne.
De la même manière, il appartient aux responsables de traitement de s’assurer, au besoin du respect de l’éventuelle obligation d’informer et/ou de consulter les instances représentatives du personnel compétentes : consultation, base de données sociales, mise en place d’un nouveau logiciel RH.[9]
| ||||
B – Informer le salarié des droits dont il dispose sur ses données |
Il s’agit de l’un des objectifs du RGPD, en octroyant davantage de contrôle et de visibilité aux personnes physiques dont les informations les concernant sont collectées et traitées.
L’employeur en sa qualité de responsable de traitement doit prévoir des mécanismes simples et gratuits permettant aux salariées d’exercer concrètement les droits suivants :
|
L’exercice de ces droits est en principe strictement personnel.
L’employeur doit prévoir un parcours interne efficace au sein de l’entreprise garantissant le traitement des demandes :
1. Forme de la demande ;
2. Mécanisme permettant de remonter la demande au bon interlocuteur ;
3. La réponse devant intervenir dans le délai d’un mois et peut être prorogé à 3 mois en raison de la complexité de la demande / ce délai est restreint à 8 jours s’agissant des données de santé ;
4. Les modalités de réponse qui doivent être compréhensibles, accessibles et formulées en des termes clairs et simples.
|
||||
|
En matière de conservation des données et conformément à l’article 5-1-e) du RGPD, la durée est fixée :
.
Les critères utilisés pour déterminer cette durée, font partie des informations qui doivent être communiquées aux personnes concernées.
Les données doivent être conservées sous une forme permettant l’identification des salariés.
|
Ainsi, les données nécessaires à la gestion du personnel (base active) doivent être conservées pendant la durée de la relation de travail.
Certaines données inhérentes aux salariés peuvent être conservées au-delà de l’expiration du lien contractuel, notamment au regard de dispositions réglementaires spécifiques ou dans l’hypothèse d’un contentieux (prescription/forclusion), tels que :
| ||||
IV – L’obligation de réaliser une analyse d’impact relative à la protection des données (AIPD)
En application des dispositions de l’article 35 du RGPD, le responsable de traitement pourrait avoir à réaliser une analyse d’impact dès lors que le traitement qu’il met en œuvre est susceptible de présenter un risque élevé pour les droits et les libertés des personnes concernées.
Toutefois, cette étude n’est pas requise lors que les traitements[10], mis en œuvre uniquement à des fins de ressources humaines et pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes.
Attention, la réalisation d’une telle étude est obligatoire lorsque le traitement a pour finalité de surveiller de manière constante l’activité des employés, tel que :
L’analyse des flux de courriels sortants afin de détecter d’éventuelles fuites d’information (dispositifs dits de « Data Loss Prevention »)
La vidéosurveillance portant sur les employés manipulant de l’argent ;
La vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires ;
La fonction de chronotachygraphe des véhicules de transport routier.
La réalisation d’une analyse d’impact est risquée et nécessite de la mise en œuvre d’un processus structuré qui peut aboutir au recours à un Délégué à la Protection des Données, externe à l’entreprise.
V – Les sanctions encourues en cas de violation du RGPD
V – 1. En théorie
Les infractions sont donc sanctionnées graduellement et en fonction de leur gravité :
Etape 1 : Avertissement ou une mise en demeure de l’entreprise fautive avec rappel du devoir de mise en conformité des traitements de données sensibles au RGPD
Etape 2 : Injonction de cesser la violation
Etape 3 (dans certains cas) : Limitation ou suspension temporaire des traitements de données
Etape 4 : Sanctions administratives en cas de non-respect aux règles du RGPD après injonction vaine de l’autorité de contrôle
En outre, si une amende est effectivement prononcée, son montant dépendra notamment de la nature, de la gravité et de la durée de la violation, de son éventuel caractère intentionnel, des mesures prises pour atténuer le dommage, d’une possible récidive, de la bonne foi et de la coopération de l’entreprise en cause.
La CNIL elle-même a annoncé qu’elle fera preuve de discernement dans le choix des mesures correctrices à appliquer aux entreprises qui ne respecteraient pas le RGPD.
V – 2. En pratique
A ce jour, et à notre connaissance la CNIL n’a prononcé aucune sanction à l’encontre d’une société qui n’aurait pas respecté les normes fixées par le RGPD au regard des données personnels de ses salariés.
En effet, les sanctions portent sur l’utilisation des données des utilisateurs ou des clients.[11]
Toutefois, votre entreprise n’est pas à l’abri d’un contrôle ou d’une plainte, voire même d’une dénonciation de l’un de vos salariés, qui se placerait alors sous le statut protecteur du lanceur d’alerte.
——————————-
[1] Constitue un traitement de données à caractère personnel, toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’utilisation, la limitation[RETOUR]
[2] Est une donnée à caractère personnel, toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres[RETOUR]
[3] Il résulte de l’article 6 du RGPD que le traitement de données à caractère personnel n’est licite que s’il repose sur une base juridique appropriée.[RETOUR]
[4] Page 5 et 6 : https://www.cnil.fr/sites/default/files/atoms/files/referentiel_grh_novembre_2019_0.pdf [RETOUR]
[5] Sur ce point, la CNIL rappelle cette base légale ne peut être invoquée qu’exceptionnellement, et sous certaines conditions, dans le contexte RH, étant donné la dépendance qui découle de la relation employeur/salarié.[RETOUR]
[6] article 9 du RGPD, articles 6 et 44 de la LIL : c’est-à-dire celles qui révèlent l’origine ethnique ou prétendument raciale, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne, les données génétiques, les données biométriques, les données concernant la santé ou celles concernant la vie sexuelle ou l’orientation sexuelle d’une personne.
De même, le numéro de sécurité sociale et les données relatives aux infractions, condamnations pénales et mesures de sûreté connexes sont des données sensibles.
[RETOUR]
[7] [RETOUR]
[8]Cf. supra : I – La licéité des traitements utilisés[RETOUR]
[9] http://vivaldi-chronos.com/ressources-humaines/representants-du-personnel/la-mise-en-place-dun-nouvel-outil-numerique-de-gestion-du-temps-de-travail-necessite-la-consultation-du-chsct/[RETOUR]
[10] Gestion de la paye, des formations, du restaurant d’entreprise ou chèques-repas, le remboursement des frais professionnels, le suivi des entretiens annuels d’évaluation, la tenue des registres obligatoires, l’utilisation des outils de communication, le contrôle du temps de travail, etc…[RETOUR]
[11] https://www.cnil.fr/fr/tag/sanctions[RETOUR]