Les Ressources Humaines constituent l’un des piliers de l’entreprise. Elles ont accès à des informations très personnelles et sensibles relatives aux individus.
Le nouveau Règlement Européen sur la Protection des Données Personnelles (RGPD) » applicable dès le 25 mai 2018 aura des impacts significatifs pour toutes les entreprises, et notamment pour le pôle RH.
En matière de droit du travail, le RGPD contient un article 88 spécifiquement dédié au traitement des données personnelles dans le cadre des relations de travail. Le nouveau texte consacre la reconnaissance du droit du salarié sur ses données personnelles.
L’entreprise est amenée à collecter, traiter et stocker une grande quantité de données personnelles, voire sensibles, elle doit donc être vigilante. Le Règlement Européen produit ses effets à tous les stades du cycle de vie du personnel.
Candidature (CV, lettre de motivation, compte-rendu, avis, tests…)
- information du candidat sur la collecte et le traitement
- collecte des données des candidats pertinente et strictement nécessaire à la finalité du traitement
- en cas de recours à un Cabinet de recrutement externe vérifiez que le contrat qui vous lie est conforme au RGPD
- les données des candidats non retenus doivent être conservées de manière limitée puis être purgées
Embauche (diplômes, situation familiale, coordonnées, n°SS, Rib, contrat de travail)
- information des employés sur les droits issus du RPGD lors de la collecte
- élaborer un registre détaillé des données personnelles et sensibles des employés et les traitements qui y sont apportés
Vie du contrat (badge, géolocalisation, vidéo-surveillance, avenant contrat, bulletin de paie, dossier disciplinaire et de carrière …)
- mise en place d’un dispositif de sécurité et de confidentialité des données des employés (charte informatique, politique de sécurité du système d’information et gestion des incidents …)
- gestion des accès aux données
- mise en place des modalités de gestion des droits des employés sur leurs données (demande accès etc…)
Cessation du contrat (licenciement, rupture, protocole)
- suppression des données et respect de la durée légale de rétention
- accessibilité au salarié lors de son départ
La délicate question de la durée de rétention ?
Le RGPD dispose que les données personnelles des salariés ne peuvent être conservées que pour la durée nécessaire :
- à l’exécution de leur contrat de travail
- et/ou au respect d’obligations légales
- et/ou à l’accomplissement de l’objectif qui était poursuivi lors de la collecte
A titre d’exemples, concernant les documents suivants :
- contrat de travail : 5 ans
- documents liés à la paie : 5 ans
Les risques pour l’entreprise ?
Le RGPD entrera en vigueur dès le 25 mai prochain. L’employeur et les RH doivent réexaminer l’ensemble des traitements portant sur les données personnelles et prendre toutes les mesures nécessaires pour assurer la conformité au nouveau texte afin d’éviter les sanctions de la CNIL (jusqu’à 4% du chiffre d’affaires).
Outre les nouvelles dispositions prévues par le RGPD, rappelons que le Code du travail prévoit qu :« aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté à sa connaissance » (art L1222-4).
Enfin, la loi Justice du XIX ème siècle introduit une action de groupe en matière de protection des données à caractère personnel. Sans aucun doute, les organisations syndicales de salariés useront de cette voie pour solliciter la cessation des manquements en matière de protection des données personnelles et leur réparation.
Comment se mettre en conformité ?
Le Cabinet, en fonction du secteur d’activité de l’entreprise, du traitement de ses données et de ses besoins propose notamment les prestations juridiques suivantes :
- Sensibilisation des équipes RH et des collaborateurs sur les exigences du RGPD et ses enjeux ;
- Note d’information sur les principes généraux du RGPD, les mesures à mettre en œuvre et la méthodologie de la mise en conformité au RGPD ;
- personnelles/confidentielles/sensibles, profilage … ;
- Assistance à la réalisation des Analyses Préalables d’Impact (API) des traitements concernés ;
- Rédaction et assistance à la rédaction des dispositions légales obligatoires : Mentions légales ; recueil des consentements ;
- Rédaction et assistance à la rédaction des clauses contractuelles à intégrer dans les contrats ;
- Assistance à la vérification des niveaux de conformité des fournisseurs de l’entreprise et partenaires
- Assistante au Délégué à la Protection des Données.
Nous vous accompagnons dans les changements nécessaires à cette mise en conformité obligatoire. Pour plus de renseignements n’hésitez pas à nous adresser un email contact@offroyfrances-avocats.fr
Commentaires récents