RGPD : Quelles obligations pour les employeurs ?

Les entreprises constituent des environnements de traitement de données à caractère personnel important. De ce fait, chaque employeur doit respecter la législation et la réglementation en vigueur pour assurer la protection des données recueillies auprès de ses salariés.

Exemples :

  • Recrutement
  • Gestion des ressources humaines
  • Suivi du temps de travail
  • Gestion des carrières
  • Gestion de la paie
  • Gestion des accès à l’entreprise
  • Vidéosurveillance

Quelles responsabilités pour l’employeur ?

Au sein de l’entreprise, c’est l’employeur qui est le responsable de traitement des données personnelles. C’est sur lui que repose la responsabilité de mise en œuvre de mesures techniques et organisationnelles pour s’assurer que les traitements soient conformes au RGPD. C’est également l’employeur qui doit démontrer la conformité des traitements de données de la société lors d’éventuels contrôles (CNIL, DDPP etc.).

L’employeur a donc les obligations suivantes :

  • Assurer le respect des principes du RGPD ;
  • Tenir un registre des traitements ;
  • Désigner un délégué à la protection des données (DPO) ;
  • Sécuriser les données à caractère personnel ;
  • Mettre en place une procédure de violation de données personnelles ;
  • Assurer le droit à la transparence ;
  • Assurer les droits des salariés.

L’obligation de tenir un registre des traitements (Article 30 du RGPD)

La mise en œuvre d’un registre de traitements permet de recenser de manière exhaustive l’ensemble des traitements en place au sein de l’entreprise. Cela permet de s’assurer de la conformité des traitements au RGPD et de mettre ces registres à la disposition de la CNIL en cas de contrôle.

Conformément à l’article 30 du RGPD, les structures de plus de 250 salariés ont l’obligation de mettre en place un registre de traitement sous forme écrite ou électronique. Dans certaines circonstances, les structures n’atteignant pas ce seuil sont aussi soumises à cette obligation de mise en œuvre d’un registre des traitements dans la mesure où :

  • Le traitement est susceptible de comporter un risque pour les droits et libertés des salariés ;
  • Le traitement n’est pas occasionnel (par exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.)
  • Le traitement porte sur des données sensibles ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions (par exemple : les traitements de données en laboratoire ou les traitements en milieu hospitalier).

Le registre des traitements doit comporter les éléments suivants :

Nom et coordonnées du responsable de traitement, le cas échéant de son représentant et du délégué à la protection des données (DPO) ;

Finalités du traitement ;

  • Description des catégories de personnes concernées ;
  • Description des catégories de données concernées ;
  • Catégories de destinataires auxquels les données sont ou seront transmises ;
  • Le cas échéant, les transferts de données vers un pays tiers ou organisation internationale ;
  • Si possible, les délais d’effacement des diverses catégories de données à caractère personnel.
  • Si possible, une description des mesures de sécurité techniques et organisationnelles.

Faut-il désigner un DPO au sein de l’entreprise ? (Article 37 du RGPD)

Les entreprises qui effectuent des opérations de traitement du fait de la nature des traitements, de la portée, des finalités ou qui exigent un suivi régulier et systématique à grande échelle des salariés doivent obligatoirement désigner un délégué à la protection des données (DPO).

Qui est le DPO ? Quels sont ses rôles au sein de l’entreprise ?

Le DPO peut être un prestataire de service extérieur ou un salarié de l’entreprise. Ses coordonnées doivent être publiées et communiquées à la CNIL. En vertu des articles 39 et 38 du RGPD, le DPO a les missions suivantes :

:

  • Informer et conseiller le responsable de traitement quant aux obligations qui lui incombent en matière de protection des données personnelles ;
  • Contrôler le respect de la réglementation issue du RGPD et de la loi informatique et Libertés ;
  • Conseiller le responsable de traitement lors de la mise en œuvre d’une analyse d’impact relative à la protection des données (AIPD) ;
  • Coopérer avec la CNIL ;
  • Agir en tant qu’intermédiaire de contact avec la CNIL sur toutes les questions relatives aux traitements.

L’obligation de sécuriser les données personnelles (Article 32 du RGPD)

Le responsable de traitement doit assurer la protection des données en mettant en place des dispositifs de protection. Ainsi, il doit assurer la sécurité des données face à des risques de pertes de données, piratages, ou tout facteur susceptible d’entraîner la destruction, la perte, l’altération, la divulgation non autorisée des données. Mais aussi, l’accès non autorisée à celles-ci de manière accidentelle ou illicite.

Le RGPD préconise plusieurs mesures de sécurité des données

  • La pseudonymisation et chiffrement des données personnelles ;
  • La mise en place de moyens permettant d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et services de traitements ;
  • La mise en place de moyens de rétablissement de disponibilité et accès des données personnelles dans des délais appropriés en cas d’incident ;
  • La mise en place de procédures destinées à tester, analyser et évaluer l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité des traitements.

Le responsable de traitement doit également assurer la sécurité des données

  • Utiliser des logiciels sécurisés
  • Utiliser des antivirus sûrs et mis à jour 
  • Procéder au changement de mot-de-passe, et veiller à ce qu’ils soient suffisamment forts
  • Effectuer des sauvegardes régulières 
  • Sécuriser les accès wifi 
  • Établir une Chartes informatique destinée aux salariés contenant des bonnes pratiques permettant de limiter les intrusions malveillantes

En pratique, l’employeur a l’obligation de mettre en place ce type de mesures techniques pour maintenir l’environnement de travail sécurisé en protégeant les systèmes de traitements de données et les données personnelles elles-mêmes. Cela permet d’anticiper et contre les menaces potentielles (exemples : logiciels malveillants, piratage, violation de données etc.).

L’employeur doit mettre en place une procédure de traitement des violations de données personnelles (Article 33 du RGPD)

Les violations de données peuvent entrainer un risque d’atteinte aux droits et libertés des salariés, en particulier une atteinte à la vie privée. C’est pourquoi, les violations qui présentent des « risques » ou « risques élevés » pour les droits et libertés des salariés doivent être notifiées à l’autorité de protection des données personnelles (CNIL). C’est le cas par exemple en cas de violation concernant l’adresse postale du salarié, les données relatives à ses congés maladie, ses antécédents médicaux ou son numéro de sécurité sociale (NIR) etc.

Le responsable du traitement doit notifier, à minima, les éléments suivants à l’autorité :

  • La nature de la violation (affectant l’intégrité, la confidentialité ou la disponibilité des données) ;
  • Les catégories et le nombre approximatif des personnes concernées ;
  • Les catégories et le nombre approximatif d’enregistrements concernés ;
  • Les conséquences probables de la violation ;
  • Les coordonnées de la personne à contacter (DPO ou référent RGPD) ;
  • Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

Le responsable du traitement doit effectuer une notification de violation de données à la CNIL dans les meilleurs délais, sous 72h maximum après la prise de connaissance de la violation.

Il est possible d’effectuer une notification en deux temps, dans le cas où le responsable du traitement ne dispose pas de toutes les informations requises dans le délai de 72h :

  • Une notification initiale est établie dans un délai de 72h après constatation de la violation
  • Après dépassement du délai de 72h, une notification doit tout de même être effectuée, mais il faudra expliquer/justifier des motifs de retard.
  • Une notification complémentaire doit être effectuée dès que les informations complémentaires sont disponibles.

En pratique le responsable du traitement devra faire preuve d’anticipation afin d’éviter de recourir à la notification en deux temps.

L’obligation d’assurer le droit à la transparence des salariés (Article 48 du RGPD)

La législation et la réglementation en vigueur imposent un principe de transparence quant aux informations, communications et modalités d’exercice des droits salariés concernés par les traitements de données personnelles.

Le droit à la transparence se retrouve au travers du droit d’information dont bénéficient les salariés

  • Lors de la collecte des données ;
  • Sur les droits des salariés une fois les données personnelles collectées ;
  • En cas de violation de données personnelles ;
  • En cas d’exercice de ses droits.

A noter : Une vigilance particulière doit être apportée au droit à la transparence au regard de son importance et de la redondance des manquements liés à ce droit au sein des sanctions de la CNIL.

L’employeur doit garantir les droits de ses salariés

Le responsable du traitement ne peut pas refuser de donner suite à une demande d’exercice des droits des salariés conférés par le RGPD et la loi informatique et Libertés.

Les droits informatiques et libertés des salariés

Les droits informatiques et libertés des salariés sont les suivant :

  • Droit d’information lors de la collecte ;
  • Droit d’accès ;
  • Droit de rectification ;
  • Droit à l’effacement (droit à l’oubli ou droit de suppression) ;
  • Droit à la limitation du traitement ;
  • Droit à la portabilité des données ;
  • Droit d’opposition ;
  • Droit de ne pas faire l’objet d’une décision fondée sur un traitement automatisé ;

Droit d’information en cas de violation des données. L’essentiel à retenir :

L’employeur est responsable de traitement des données personnelles au sein de la société. Il s’assure de la mise en œuvre de mesures techniques et organisationnelles pour s’assurer que les traitements soient conformes au RGPD. Cette conformité lui permet notamment d’appréhender d’éventuels contrôles.

L’employeur a des obligations suivantes en vertu du RGPD :

  • Tenir un registre des traitements

S’assurer de la conformité des traitements recensés dans le registre vis-à-vis du RGPD. L’employeur doit également pouvoir mettre ce registre à disposition de la CNIL.

  • Désigner un délégué à la protection des données (DPO)

Le DPO est un interlocuteur de premier rang en matière de protection des données à caractère personnel, le RGPD lui consacre diverses missions qu’il doit effectuer au sein de la structure qui le désigne.

  • Sécuriser les données

L’employeur devra assurer la sécurité des données face à des risques de pertes de données, piratages, ou tout facteur susceptible d’entraîner la destruction, la perte, l’altération, la divulgation non autorisée des données ou encore l’accès non autorisée à celles-ci de manière accidentelle ou illicite.

  • Mettre en place une procédure de violation de données personnelles

Les violations de données personnelles susceptibles de porter atteintes aux droits et libertés des salariés doivent être signalées sous un délai de 78h maximum à la CNIL, l’autorité compétente en matière de protection des données à caractère personnel.

  • Assurer le droit à la transparence

La législation en vigueur impose un principe de transparence quant aux informations, communications et modalités d’exercice des droits salariés concernés par les traitements de données personnelles.

  • Assurer les droits des salariés

L’employeur fait suite aux demandes d’exercice des droits des salariés : information lors de la collecte, accès à ses données, rectificationeffacementlimitation du traitementportabilité des données, opposition, ne pas faire l’objet d’une décision fondé sur un traitement automatisé, information en cas de violation de données.

Attention :

Les obligations précédemment mentionnées doivent faire l’objet d’une documentation formalisées et de mises à jour.

AUMANS AVOCATS (anciennement FOUSSAT AVOCATS & DEROULEZ AVOCATS)
AARPI
Paris +33 (0)1 85 08 54 76 / Lyon +33 (0)4 28 29 14 92 /
Marseille 
+33 (0)4 84 25 67 89 / Bruxelles +32 (0)2 318 18 36