Les sénateurs viennent d’adopter le 18 avril 2018, en première lecture, la proposition de loi pour protéger le «secret des affaires» précédemment approuvée par l’Assemblée nationale le 28 mars et visant notamment à obtenir que :

« Un secret des affaires légitimement obtenu par ou divulgué à un salarié ou un représentant du personnel, dans le cadre de l’information et de la consultation des salariés ou de l’exercice du mandat représentatif, demeure protégé à l’égard des autres personnes ».

Toutefois, ce texte ne remet pas en cause l’entrée en vigueur du nouveau Règlement Général sur la Protection des Données (RGPD), texte et norme européenne avec effet direct à compter du 25 mai 2018, qui nous projette vers la digitalisation programmée des entreprises avec plusieurs bornes :

  • celles qui auront intégrer dans leur process la protection de la collecte, du traitement et l’analyse des données personnelles,
  • et celles qui banaliseront cette nouvelle évolution et qui disparaîtront à terme.

On entre dans une nouvelle ère : La valeur d’une entité et donc d’une entreprise et  son professionnalisme vont être pesés en fonction de sa maturité digitale c’est à dire sa capacité à intégrer une approche de conformité par rapport au RGPD.

1- Quel est le degré du  risque?

Le risque est majeur :

 

Désormais toutes les entreprises, les associations, les institutionnels y compris les organismes publics,  du moment qu’ils détiennent des données à caractère personnel c’est à dire des informations qui concernent leurs clients, leurs salariés ou voire leurs prospects devront respecter les évolutions imposées par le RGPD.

 Il a été conféré à la CNIL depuis 2004 le pouvoir de régulation et donc de sanction. Avec ce texte qui prévoit une amende pouvant aller jusqu’à 4% du chiffre d’affaires en cas de défaut de conformité réitéré au RGPD,  il est essentiel de se prémunir et agir tant il sera facile pour la CNIL de sanctionner une entreprise inerte ou inactive .

La CNIL sera certes le garant en France de la mise en œuvre de la politique européenne en matière de traitement des données à caractère personnel. En cas de non conformité au RGPD, les sanctions seront encadrées.

Elles seront par ailleurs graduées puisque la CNIL pourra tout d’abord prononcer un avertissement, puis mettre en demeure l’entreprise de se mettre en conformité.  Ce n’est qu’en cas de constat de défaut de conformité réitéré que la sanction de l’amende de 4% du CA de l’entité contrôlée sera prononcée avec une publication de la décision par la CNIL.

2- Pourquoi un tel texte avec une date d’application si proche : le 25 mai 2018?

C’est un effet rebond de l’affaire de juillet 2013 : L’affaire Snowden, du nom de celui qui a livré des secrets d’Etat au journal anglais et au Washington Post dans ce qui s’apparente d’ores et déjà comme l’un des plus grandes fuites de l’histoire des Etats-Unis.

Grâce aux documents fuités par Edward Snowden, les journalistes avaient révélé  que la NSA, l’Agence nationale de sécurité américaine, aurait demandé à la société de téléphonie Verizon des informations sur les données de tous ses clients, qu’ils soient suspectés dans des affaires en cours ou non.

Cette surveillance autorisée par un juge, du 25 avril au 19 juillet 2013, ont permis aux services de renseignement d’avoir accès durant ce laps de temps à toutes les métadonnées téléphoniques du plus grand opérateur de télécommunication des Etats-Unis. Cela signifie aussi bien les numéros de portables internationaux, les équipements utilisés, que les durées et heures des appels; bref, Tout, sauf le contenu des appels, pour les citoyens américains mais aussi les étrangers ont été en accès libre.

Les journalistes ont ensuite révélé  que les services de renseignement ont également eu accès aux serveurs de neuf géants de l’Internet et du monde micro-informatique comme Google, Apple ou Facebook afin d’intercepter les communications d’internautes étrangers : C’est le fameux – et top secret – programme PRISM et là cela a concerné la collecte d’informations.

C’est pour se prémunir contre ce type d’intrusion que l’Union Européenne en 2016 a pris la décision de rédiger le Règlement général sur la protection des données (RGPD ou GDPR en anglais) de l’Union Européenne qui entrera en vigueur le 25 mai prochain.

Il renforce les pratiques des entreprises en général et des acteurs du numérique en particulier, en matière de gestion des données à caractère personnel, dans la continuité de la Loi informatique et Libertés.

3- Quelles sont les obligations nouvelles pour les entreprises?

3.1. Une obligation d’information renforcée:

Le règlement impose aux organismes d’informer explicitement les individus sur la finalité de l’utilisation de leurs données à caractère personnel et, le cas échéant de recueillir leur   consentement explicite au moment de la collecte et du traitement de la donnée.

3.2. Un droit d’accès, de rectification, de récupération pour les personnes dont les données à caractère personnel sont collectées:

Il donne également aux utilisateurs le droit d’accéder à l’ensemble des informations les concernant, de les rectifier, les compléter ou les supprimer. À noter qu’il impose le principe de minimisation, c’est à dire une collecte et un traitement des données limités à la seule finalité du traitement.

Le nouveau règlement impose aussi le droit à la portabilité des données à caractère personnel par les utilisateurs, c’est-à-dire la récupération de leurs données dans un format lisible et leur transfert à un autre responsable du traitement de données.

3.3. Une obligation de sécurisation informatique renforcée pour répondre aux exigences de la confidentialité et « secret des affaires »:

Les entreprises ont également l’obligation d’informer les utilisateurs des éventuels transferts de données vers les pays hors Union Européenne. En matière de sécurité, le RGPD impose aux entreprises l’intégrité et la confidentialité des données par des mesures techniques et organisationnelles appropriées.

3.4. Une obligation de   pouvoir justifier que l’on sait  « tracer » les informations collectées et tout au long du cycle de leur vie

Dans le RGPD, a été introduit les principes d’accountability et de «privacy by design».

Dans le principe d’accountability l’entreprise devient actrice de sa mise en conformité et doit pouvoir à tout moment justifier de la conformité RGPD vis-à-vis des données à caractère personnel, et donc sa capacité à en organiser la gouvernance. Elle doit être en mesure de prouver et de tracer tout le parcours de ces informations.

Le concept de «privacy by design» consiste, quant à lui, à s’assurer de la protection des données dès la conception des produits et services, et tout au long de leur cycle de vie.

3.5. L’obligation de nommer un DPO

Le RGPD impose en outre la nomination d’un Délégué à la protection des données (DPO Data Protection Officer en anglais) à toute entreprise qui exploite des données à caractère personnel à grande échelle.

Cette nomination est obligatoire pour toutes les collectivités et entreprises du secteur public. En théorie, cela ne dépend pas du nombre de salariés dans les entreprises mais des modalités d’exploitation des données à caractère personnel (notion de grande échelle) et de la nature des données qui sont exploitées (est ce qu’elles sont sensibles ou pas ) ; en France, il sera défini un seuil certainement au surplus de cette condition dans la loi prochaine sur le traitement des données numériques.

En France, il est question de conférer au DPO le statut de salarié protégé.

4. Impact du RGPD sur les métiers des RH

Si le RGPD impacte fortement les directions commerciales et marketing des entreprises, les RH ne sont pas épargnées du fait de la collecte de nombreuses données qui étayent les différentes activités de la fonction : recrutement, paie, gestion administrative, gestion des compétences et des talents, formation, mobilité, etc.

4.1. Une obligation de gérer autrement désormais les données RH depuis la phase recrutement jusqu’à la fin du contrat de travail :

Lors du recrutement, les entreprises sont amenées à collecter un grand nombre de données issues des réseaux sociaux, des CVthèques, des candidatures spontanées.

Or, le RGPD impose le principe de minimisation des données collectées : Seuls les renseignements strictement nécessaires au regard de la finalité du traitement peuvent être sollicités.

Entretien d’embauche

Lors d’un recrutement, les données collectées ne doivent donc servir qu’à évaluer la capacité du candidat à occuper l’emploi proposé (qualifications, expérience, etc.).

Seules les personnes intervenant dans le processus de recrutement peuvent accéder aux informations d’un candidat.

Les informations ainsi collectées peuvent être stockées dans une base de données prévue à cet effet, pendant deux ans. Le consentement explicite du candidat doit avoir été recueilli. Celui-ci a le droit de consulter, de rectifier ou de supprimer ses données. Dans le cadre de la nouvelle réglementation, le traitement de ces données doit être consigné dans un registre interne.

Outre ces données, les RH traitent des données sensibles comme les informations médicales, les données biométriques, les rémunérations, les comptes bancaires, les évaluations, le numéro de Sécurité Sociale, ou encore les données relatives aux infractions ou condamnations.

Le traitement de ces données dites sensibles doit être réalisé dans un cadre permettant de garantir le principe de licéité (les données personnelles ne peuvent être collectées et exploitées que pour un usage donné et légitime, correspondant aux missions du responsable de traitement).

Quel que soit le type de données, les entreprises doivent informer les salariés de leur collecte et leur fournir un certain nombre d’informations, comme la finalité du traitement de la donnée, l’identité du responsable du traitement, des destinataires ou des catégories de destinataires, et des informations sur leurs droits (opposition, rectification, suppression) et sur les conséquences en cas de manquement à des réponses.

Les RH doivent également mettre en place des processus de sécurité pour garantir la confidentialité et l’intégrité des données, et définir les habilitations d’accès aux données.

Ainsi les supérieurs hiérarchiques ne peuvent accéder qu’aux informations nécessaires à l’exercice de leurs fonctions (données d’évaluations, rémunération, données médicales pour des postes spécifiques.

Lorsqu’un salarié quitte l’entreprise celle-ci doit conserver pendant un certain temps des documents le concernant.

Ainsi les bulletins de paie et les contrats de travail, la lettre de fin de contrat et le reçu pour solde de tout compte doivent être stockés pendant cinq ans par l’entreprise à dater du départ de l’employé.

Toutes les données à caractère personnel présentes dans les applicatifs métiers (gestion des talents, GPEC ; rémunération, mobilité, etc.) et n’ayant plus aucune finalité doivent en revanche être détruites.

Les données préservées pendant plusieurs années doivent être archivées de façon indépendante des données en cours de traitement ou susceptibles d’être rapidement traitées.

Pour pallier ce problème et en complément de la rédaction d’une charte sur l’utilisation des données et des systèmes d’information de l’entreprise, le service RH doit collaborer étroitement avec le département informatique. Dès que le départ d’un collaborateur est officialisé, les RH doivent informer l’informatique afin d’initier les procédures de récupération de son matériel (ordinateur, téléphone, etc.), de suppression et d’archivage de ses données et de suppression de ses comptes utilisateurs (réseau, applications, etc.).

4.2. Le RGPD établit une nouvelle responsabilité vis à vis des sous traitants

Une entreprise qui externalise certains pans de son SIRH, comme la gestion de la paie, le recrutement ou la GPEC, doit s’assurer que ses prestataires répondent aux nouvelles exigences du RGPD en matière de sécurité, de confidentialité et d’accountability.

Lorsque l’archivage est confié à un sous-traitant, le responsable de traitement doit s’assurer que son prestataire présente des garanties suffisantes en matière de sécurité et de confidentialité des données qui lui sont confiées.

Pour s’assurer de la conformité du sous-traitant, il est donc préférable de rédiger des contrats fixant des nouvelles clauses.

 

Telles sont nos observations.

Article rédigé par Nelly BESSET
Avocat spécialisé en Droit Social, titulaire des spécialités suivantes :
° Droit du Travail
°Droit de la sécurité et protection sociale