Depuis le 25 mai 2018, changement de paradigme en ce qui concerne la gestion des données personnelles ; désormais l’employeur doit prouver (principe d’« accountability ») qu’il a mis en œuvre les mesures nécessaires pour garantir l’application du règlement européen et permettre aux salariés d’exercer des droits accrus envers leurs données personnelles.
Un certain manque d’anticipation
Dans un premier temps, un manque d’anticipation a été constaté dans beaucoup d’entreprises, notamment sur le plan informatique. Le paramétrage des logiciels prend des années pour se conformer aux règles du « privacy by design » et notamment à la mise en place de la fonctionnalité « droit à l’effacement des données » dans l’ensemble du système d’information interne (et envers les destinataires extérieurs des données personnelles)
Toutefois, la mise en place de sanctions financières très lourdes (amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise) et la condamnation médiatique de Google en janvier 2019 par la CNIL à une amende de 50 millions d’euros ont contribué à une prise de conscience dans la grande majorité des entreprises de la nécessité de mettre en place un plan d’action. Les obligations sont les mêmes, quelle que soit la taille de l’entreprise.
Une démarche de mise en conformité bien identifiée
Les étapes de la démarche de mise en conformité sont désormais identifiées :
- désignation d’un « pilote » dans l’entreprise,
- désignation d’un éventuel délégué à la protection des données personnelles,
- recensement des données personnelles à travers tous les services de l’entreprise (analyse des flux de données, de leur collecte jusqu’à leur éventuel transfert et lieu de conservation, étude de leurs formats de stockage, réflexion sur la gestion électronique des documents),
- rédaction des registres de traitements des données personnelles,
- analyse d’impact,
- mise en place de processus durables et évolutifs,
- formations internes de sensibilisation
- contractualisation des engagements RGPD avec les sous-traitants (en cas de gestion externe de la paie par exemple),
- rédaction de la documentation garantissant une information adéquate du personnel.
Autant de nouveautés techniques et juridiques auxquelles les entreprises n’étaient pas préparées et qui nécessitent une mobilisation des dirigeants mais aussi de l’ensemble des salariés qui utilisent ces données personnelles et qui doivent désormais les protéger davantage.
Autant de nouveautés techniques et juridiques auxquelles les entreprises n’étaient pas préparées et qui nécessitent une mobilisation des dirigeants mais aussi de l’ensemble des salariés qui utilisent ces données personnelles
Dans les services en charge des ressources humaines, les premières interrogations se concentrent sur la détermination des sous-traitants dont la responsabilité est très importante au regard des données personnelles (à l’inverse des fournisseurs), la fixation des durées – limitées – de conservation des données, la difficulté de désigner un délégué à la protection des données et l’exercice d’accès aux données personnelles par les salariés. Jusqu’où aller lorsqu’un salarié demande une copie de ses données personnelles ? Les représentants du personnel n’hésitent pas non plus à questionner le degré de conformité de l’entreprise.
Dans la lignée de l’approche (encore) globalement préventive de la CNIL, les entreprises doivent impérativement s’inscrire dans la démarche, même si elles n’en ont pas encore parcouru toutes les étapes. Une pédagogie intensive auprès du personnel s’impose, au travers de la formation et même de l’évaluation, sur un sujet de plus en plus sensible. Chacun peut commencer en ne collectant que les données personnelles minimales dont l’entreprise a besoin et en respectant scrupuleusement les mesures de sécurité, souvent déjà prévues dans la charte informatique, afin de protéger ces données.
