Employeurs : A compter du 25 mai 2018 et l’entrée en vigueur du règlement européen RGPD, vos obligations de traitement des données de vos salariés vont changer

 

A l’occasion de la publication par la Commission Nationale de l’Informatique et des Libertés (CNIL) d’un guide d’accompagnement des petites et moyennes entreprises pour leur appropriation du Règlement européen sur la protection des données (RGPD), nous vous proposons de revenir sur les grands axes de cette nouvelle réglementation européenne.

Les entreprises ont en effet jusqu’au 25 mai 2018 pour se mettre en conformité avec le nouveau règlement européen n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 « Relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » (RGPD)

L’employeur est amené à traiter, au quotidien, de nombreuses données à caractère personnel pour la gestion de son personnel : coordonnées bancaires et numéro de sécurité sociale pour la paie et les déclarations sociales obligatoires, tenue du registre du personnel, mutuelles d’entreprise, annuaire comportant des photographies des salariés…

Les dispositifs de contrôle de l’activité des salariés mis en œuvre dans l’entreprise peuvent constituer également, comme rappelé précédemment sur notre site, des traitements de données à caractère personnel.

Un employeur est donc considéré comme un « Responsable de traitement », au sens de l’article 4 du règlement européen.

Ce texte, qui a pour but de renforcer le contrôle des personnes physiques sur leurs données à caractère personnel, est d’une grande importance car il augmente considérablement les obligations des entreprises et les sanctions encourues par elles.

La CNIL est en effet désormais habilitée par le règlement à prononcer, à la place ou en complément de mesures correctrices, des amendes administratives dont le montant peut être fixé jusqu'à 10 millions d’euros pour tout organisme ou, dans le cas d'une entreprise, jusqu'à 2 % à 4% du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

(Article 83 du règlement RGPD).

Le texte s’applique dans toute l’Union européenne, sans nécessiter de texte de transposition nationale, dès lors que le responsable de traitement ou son sous-traitant est établi sur le territoire de l’Union Européenne, ou met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les cibler.

(Article 3 du règlement RGPD)

L’ensemble des entreprises employant des salariés en Europe se trouve donc dans l’obligation de se mettre en conformité avec le règlement européen « RGPD » avant le 25 mai 2018.  

Dans ce contexte, l’Assemblée Nationale a adopté le 12 avril 2018 en lecture définitive un projet de loi n°490 applicable au 25 mai 2018 et visant à adapter la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés au nouveau règlement européen.

En outre, la loi ou les conventions collectives peuvent, en matière de législation sur le travail, prévoir des règles plus spécifiques pour assurer la protection des droits et libertés concernées dans le cadre des relations de travail.

(Article 88 du règlement RGPD)

Des conventions collectives de branche, voire d’entreprise, pourront donc elles aussi comporter des dispositions relatives au traitement des données à caractère personnel des salariés.

En tout état de cause, les entreprises devront se référer à l’autorité de protection du lieu où se trouve leur établissement principal, c’est-à-dire soit celui du lieu de leur siège central dans l’Union, soit celui de l’établissement au sein duquel seront prises les décisions relatives aux finalités et aux modalités du traitement.

(Article 51 du règlement RGPD) 

La CNIL, autorité administrative indépendante compétente pour le territoire français, a précisé sa politique de contrôle à venir pour cette période d’adaptation à venir : 

« Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL. 

En revanche, pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact, etc.), les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes. En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points. »

Le règlement européen RGPD opère en effet un changement de perspective : les régimes de déclarations et d’autorisations préalables sont supprimés pour faire place à une logique de conformité continue, reposant notamment sur le respect d’obligations inédites.

(Article 9 du projet de loi n°490 de refonte de la loi Informatiques et Libertés portant adaptation du règlement)

En vue de vous accompagner dans cette nouvelle période d’adaptation, nous vous proposons donc un premier aperçu de quelques-unes de ces nouvelles obligations, à savoir :

  • La mise en œuvre préalable d’une analyse d’impact pour les traitements comportant un risque élevé pour les droits et libertés des personnes concernées ; (A)
  • La tenue d’un registre des traitements opérés dans l’entreprise ; (B)
  • La désignation d’un délégué de protection des données (C)

 

A- L’obligation de mise en œuvre préalable d’une étude d’impact 

Avant de mettre en place un nouveau dispositif de traitement des données à caractère personnel de ses salariés, l’employeur doit vérifier que ce dernier n’est pas soumis à la mise en œuvre préalable d’une étude d’impact.  

Cette dernière est en effet obligatoire pour les traitements de données présentant un risque élevé pour les droits et libertés des personnes. 

(Article 35 du règlement RGPD)

 

Comment savoir si le traitement de données nécessite la mise en œuvre préalable d’une analyse d’impact ?

La gravité du risque doit être évaluée pour les personnes, et non pour l’entreprise. En pratique, précise la CNIL, l’analyse d’impact sera nécessaire pour tous les traitements de données remplissant au moins deux des critères suivants :

    • évaluation/scoring (y compris le profilage) ;
    • décision automatique avec effet légal ou similaire ;
    • surveillance systématique ;
    • collecte de données sensibles ;
    • collecte de données personnelles à large échelle ;
    • croisement de données ;
    • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
    • usage innovant (utilisation d’une nouvelle technologie) ;
    • exclusion du bénéfice d’un droit/contrat.

(Article 35 §3 du règlement RGPD, Fiche pratique de la CNIL)

Dans un souci de lisibilité, la CNIL travaille actuellement sur la réalisation d’une liste des traitements obligatoirement soumis à analyse d’impact, et une autre pour lesquels aucune analyse n’est requise. 

(Article 35, §4 et §5 du règlement RGPD).

Elle précise d’ores et déjà que les dispositifs de contrôle de l’activité des salariés seront  soumis à cette obligation d’analyse d’impact préalable, dans la mesure où dans la plupart des cas « ce traitement remplit le critère de la surveillance systématique et celui des données concernant des personnes vulnérables ». 

(Fiche CNIL « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données »)

 

Quand et comment mettre en œuvre une étude d’impact ?

Une analyse d’impact doit être menée avant la mise en œuvre du traitement et mise à jour tout au long du cycle de vie du traitement.

La CNIL met d’ores et déjà à disposition des employeurs un logiciel édité par elle visant à mettre en œuvre une analyse d’impact, le logiciel PIA.

(Fiche CNIL « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données »)

L’étude d’impact doit contenir au moins les mentions suivantes :

  • Une description systématique des opérations de traitement envisagées et les finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement;
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
  • Une évaluation des risques sur les droits et libertés des personnes concernées et ;
  • Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.

La consultation des salariés (par le biais d’une enquête, sondage) et des représentants du personnel sera en outre nécessaire à toute mise en œuvre d’un traitement nécessitant une étude d’impact.

(Article 35 RGPD, §9).

Cette consultation des représentants du personnel était au demeurant, déjà exigée pour la mise en place de nombreux dispositifs de contrôle de l’activité des salariés.

En outre, si un sous-traitant intervient dans le traitement, il doit fournir son aide et les informations nécessaires à la réalisation de l’analyse d’impact.

(Fiche CNIL « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données»)

 

Obligation supplémentaire de consultation de la CNIL en cas de « risque résiduel élevé »

La réalisation d’une analyse d’impact n’est toutefois pas toujours suffisante pour permettre la mise en œuvre du traitement des données.

(Article 36 du règlement RGPD)

Lorsque le responsable du traitement ne parvient pas à̀ identifier des mesures suffisantes pour réduire les risques à un niveau acceptable (c’est à dire lorsque les risques résiduels demeurent élevés), une consultation de l’autorité de contrôle (la CNIL pour la France) est obligatoire.

(Lignes directrices du G29 concernant l’obligation d’analyse d’impact, page 22)

La CNIL précise qu’« un risque résiduel peut être estimé comme élevé quand il induit pour les personnes des conséquences importantes voire irréversibles qu’elles ne pourraient pas surmonter et/ou lorsqu’il semble évident que le risque se produira. » 

(Fiche CNIL « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données»)

Si, lors de sa consultation, la CNIL considère que le traitement constitue une violation du présent règlement, elle peut faire usage des pouvoirs qui lui sont donnés par le règlement et prononcer des injonctions de mise en conformité, une suspension ou interdiction du traitement.

(Articles 36 et 58 du règlement RGPD)

 

Les traitements déjà déclarés par l’employeur sont-ils concernés par cette obligation ?

Selon la CNIL, une étude d’impact doit être mise en œuvre : 

    • Pour tout traitement de données mis en œuvre postérieurement au 25 mai 2018 ;
    • Pour tout traitement déclaré antérieurement au 25 mai 2018, mais ayant fait depuis la déclaration l’objet d’une modification importante ;
    • Pour tout traitement mis en place antérieurement au 25 mai 2018 mais encore non déclaré à la CNIL.

La CNIL précise ainsi qu’une étude d’impact ne sera pas exigée, pendant une période de dispense de trois ans, pour :

  • Les traitements qui ont fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018 ;
  • Les traitements qui ont été consignés au registre d’un correspondant « informatique et libertés ».

A l’issue de ce délai, les employeurs devront avoir effectué une étude d’impact si le traitement remplit les critères rappelés ci-dessus.  

(Fiche CNIL « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données»)

 

B- L’obligation de création et de maintenance d’un registre des traitements

Un registre détaillé et mis à jour des traitements de données à caractère personnel mis en œuvre dans l’entreprise doit à l’avenir être tenu par l’employeur et mis à la disposition permanente des agents de la CNIL.

(Article 30 du règlement RGPD)

 

Dans quel cas l’employeur doit-il mettre en place un tel registre?

La tenue de ce registre est obligatoire pour les entreprises de plus de 250 salariés ou dans toute entreprise si le traitement remplit l’une de ces conditions : 

  • S’il est susceptible de comporter un risque pour les droits et libertés des personnes concernées;
  • S’il n’est pas occasionnel;
  • S’il porte sur des données sensibles ou relatives à des condamnations pénales ou infractions.

En pratique et comme rappelé précédemment, chaque entreprise traite des données à caractère personnel de manière quotidienne et structurelle et devra donc tenir un tel registre.

(Article 30 du règlement RGPD)

 

Quel est le contenu obligatoire de ce registre ?

Ce registre, dont la CNIL met à disposition un modèle utilisable gratuit, devra contenir notamment :

  • Les noms et coordonnées du responsable du traitement, et le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
  • Les finalités du traitement ;
  • Une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
  • Les catégories de destinataires auxquels les données à caractère personnel ont été seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
  • Dans la mesure du possible, les mesures de sécurité techniques et organisationnelles mises en place et les délais prévus pour l’effacement des différentes catégories de données.

A l’obligation de tenue et de mise à jour d’un registre s’ajoute parfois celle de la désignation d’un délégué à la protection des données.

 

C-  L’obligation de désignation d’un Délégué à la Protection des Données (DPD)

A ces deux obligations s’ajoute celle de désignation d’un délégué à la protection des données (DPD ou DPO en anglais pour Data Protection Officer).

(Article 37 du règlement RGPD)

 

Dans quelle situation l’employeur doit-il désigner un délégué à protection des données ?

Toute entreprise de plus de 250 salariés est tenue de désigner un Délégué à la Protection des Données (DPD). Pour les entreprises de moins de 250 salariés, la désignation d’un DPD demeure obligatoire lorsque :

  • Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction jurisprudentielle ;
  • Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • Si leurs activités de base du responsable de traitement ou du sous-traitant les amène à traiter (toujours à grande échelle) des données dites sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses, données génétiques ou biométriques, données concernant la santé ou l’orientation sexuelle…) ou relatives à des condamnations pénales.

(Article 37 du règlement RGPD)

Lors du G29, Conseil réunissant l’ensemble des autorités compétentes similaires à la CNIL au niveau européen, la notion d’activité principale/ de base a été précisée :

« Les « activités de base» peuvent être considérées comme les opérations essentielles pour atteindre les objectifs du responsable du traitement ou du sous-traitant. Elles comprennent également toutes les activités pour lesquelles le traitement de données fait partie intégrante de l’activité́ du responsable du traitement ou du sous-traitant.

 Par exemple, le traitement des données concernant la santé telles que les dossiers médicaux des patients doit être considéré comme l’une des activités de base des hôpitaux, et ces derniers doivent donc désigner un DPD.

 En revanche, tous les organismes exercent certaines activités de soutien comme la rémunération de leurs employés ou les activités d’assistance informatique classiques. Ces activités constituent des exemples de fonctions de soutien nécessaires à l’activité́ de base ou principale de l’organisme.

 Bien que ces activités soient nécessaires ou essentielles, elles sont généralement considérées comme des fonctions auxiliaires plutôt que comme l’activité de base. »  

(« Lignes directrices concernant les délégués à la protection des données » révisées et adoptées le 5 avril 2017 par le G29, page 24)  

Les simples opérations de gestion du personnel ne sont donc pas normalement comptées comme déclenchant l’obligation de désignation d’un DPD : un examen au cas par cas de l’activité de l’entreprise devra être effectué.

Pour une plus grande souplesse, le règlement précise qu’un groupe d’entreprises peut désigner un seul délégué à la protection des données, à condition qu’il soit facilement joignable à partir de chaque lieu d’établissement.

(Article 37 du règlement RGPD)

 

Quelles sont les missions du Délégué à Protection des Données ?

Les missions du délégué à la protection des données sont « au moins » les suivantes : 

(Article 39 du règlement RGPD)

  • Informer et conseiller le responsable de traitement ou le sous-traitant, ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du règlement RGPD ;
  • Contrôler le respect du règlement européen et du droit national en matière de protection des données ;
  • Dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;
  • Coopérer avec l’autorité de contrôle (CNIL) et d’être le point de contact de celle-ci.

Il doit être souligné que le DPO ne peut être sanctionné ou pénalisé par l’employeur, directement ou indirectement, pour des faits relatifs à l’exercice de ses missions.  

(Article 38 du règlement RGPD) 

Il n’est toutefois pas, à ce jour, un salarié protégé au sens du Code du travail.

Même si cela n’est pas obligatoire, la désignation d’un DPD est recommandée par la CNIL aux employeurs. Ce dernier peut en effet s’avérer être un partenaire efficace pour accompagner l’employeur dans la mise en place des nouveaux outils propres à satisfaire les exigences européennes.