Pensez à vous mettre en conformité avec le Règlement Général sur la Protection des Données (RGPD), d’application directe à tous les citoyens européens à compter du 25 mai 2018 !

Employeurs (et sous-traitants), vous êtes concernés aussi, notamment en raison des multiples données collectées lors des phases de recrutement, d’évaluation, de rémunération, de formation, de protection sociale etc.

Assorti de sanctions pécuniaires, le texte européen vous impose notamment de :
Mettre en place votre système d’auto-contrôle du traitement des données personnelles récoltées dans l’entreprise (qui viendra remplacer les déclarations préalables à la CNIL)
Désigner votre DPO (Date protection officer) reprenant les attributions du CIL (Correspondant informatique et libertés)
Répertorier et limiter au strict nécessaire la collecte des données
Assurer la sécurité et la confidentialité des données personnelles de vos salariés (et des candidats éventuels qui n’ont pas été recrutés) et éviter toute divulgation à des tiers non-autorisés
Contrôler la collecte et l’usage des données personnelles par les sous-traitants (cabinets RH, paye etc.)
Informer les salariés et recueillir leur consentement avant le traitement de leurs données personnelles
Assurer aux salariés un droit d'accès à leurs données personnelles

Les déclarations à la CNIL sont remplacées par un système d'auto-contrôle continu et de responsabilisation (compliance) des responsables de traitement (les entreprises) et de leurs sous-traitants (cabinet RH, logiciels de paye etc.). Les grands principes tenant à la protection des données sont toutefois maintenus (conditions de licéité du traitement, finalité du traitement, proportionnalité des données, durée de conservation limitée).
Les entreprises et les sous-traitants devront mettre en œuvre des mesures techniques et organisationnelles pour s'assurer et pouvoir démontrer à tout moment que le traitement est conforme à la réglementation.
Dans les entreprises d'au moins 250 salariés, l'employeur devra tenir un registre interne des traitements de données à caractère personnel qui devra contenir certaines mentions obligatoires (RGPD, art. 30) tel que l'identité du responsable du traitement, co-responsables de traitement, sous-traitants et destinataires intervenant dans le traitement, les finalités du traitement des données etc.

Le DPO (Date protection officer) remplacera l’actuel CIL (Correspondant informatique et libertés). Il récupèrera ses attributions et aura des missions supplémentaires. Sa présence est obligatoire dans certains organismes réalisant un suivi régulier et systématique des personnes ou dont les activités de base les amènent à traiter de grandes quantités de données sensibles. Pour tous les autres organismes, la présence DPO est facultative mais vivement recommandée.
Son rôle est d’informer et conseiller l'entreprise ou le sous-traitant quant à l’application du RGPD et de contrôler la conformité des traitements au RGPD et au droit national.
Attention : sa responsabilité ne pourra pas être engagée à ce titre, les obligations incombant à l'entreprise ou au sous-traitant.
La Cnil conservant de son côté ses missions d'information et de conseil ainsi que son pouvoir d'enquête.

Identifier les tâches. Dans un premier temps, l’entreprise doit identifier les tâches occasionnant un traitement de données personnelles des salariés et les contrôler (collecte nécessaire, durée de conservation respectée etc.). Il peut s’agir des données personnelles collectées dans le cadre du recrutement (CV, lettre de motivation etc.), des formations, de la paye, de la gestion des accès etc.

Assurer la sécurité et la confidentialité des données y compris des sous-traitants. A cet égard, l’entreprise peut, par exemple, mettre à la disposition du personnel une documentation interne aux fins de sensibilisation.
Attention : une étude d'impact sur la protection des données personnelles devra être réalisée avant mai 2021 dans pour les traitements présentant un risque élevé.

Les relations avec les sous-traitants sous contrôle. Les contrats entre responsables de traitement (l’entreprise) et sous-traitants (prestataires de paie ou RH par exemple) devront clairement gérer la question du traitement des données personnelles (préciser notamment la finalité du traitement, la durée de conservation des données, les obligations du sous-traitant etc.). L’entreprise doit s'assurer que ses sous-traitants présentent eux aussi les garanties suffisantes à ce titre. En cas de violation, elle devra être notifiée à la Cnil dans les 72 heures.

Informer les salariés et recueillir leur consentement avant le traitement de leurs données personnelles. Le salarié doit notamment être informé des coordonnées du DPO, du fondement juridique du traitement, de la durée de conservation des données, de son droit d'introduire une réclamation auprès de la Cnil, de son droit de retirer son consentement à tout moment, etc.
Son consentement doit être express, clair et non équivoque.

Le salarié dispose d’un droit d'accès à toutes les données personnelles collectées le concernant. L’entreprise doit accéder à sa demande dans le délai d’un mois en principe (sauf cas particuliers). En cas d’impossibilité de donner suite à sa demande, il devra être informé, dans un délai d'un mois suivant la réception de sa demande, des motifs de cette inaction, des voies et délais de recours ouverts.

Les sanctions. Outre les avertissements, rappels à l’ordre, mises en demeure ou encore saisine de la formation restreinte de la Cnil à l’encontre du responsable de traitement, des amendes pourront aussi être appliquées (montant variable selon les circonstances. par exemple, pour la non-désignation d'un DPO : 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent ; pour d’autres, la condamnation pourra atteindre 20 millions d'euros ou 4 % du chiffre d'affaires susvisé).