RGPD : droit du travail, RH et protection des données

Le droit du travail à l'heure numérique

RGPD : droit du travail, RH et protection des données

RGPD RH Regles DATAOFFICER DPO

Quel est le cadre juridique européen applicable en matière de protection des données à caractère personnel ? 

C’est un sujet qui concerne tous les employeurs, puisque dans le cadre de leur relation avec leurs salariés, la plupart des employeurs mettent en œuvre des systèmes d’information pour gérer la relation RH, qu’il s’agisse du recrutement, de la gestion de la paye, de la gestion de la carrière, de la mise en œuvre de dispositifs de contrôle individuel d’activité, par exemple, j’y reviendrai.

La réglementation de protection des données repose à la fois sur le le RGPD, qui est applicable en France depuis 2018 et qui est complété par la loi Informatique et Libertés. C’est une ancienne loi qui date de 1978, donc il y a près de 45 ans, et qui a été mise à jour à la suite de l’adoption du RGPD.

Donc, aujourd’hui en France, les deux textes qu’un employeur doit respecter en matière de protection des données, au-delà des dispositions spécifiques qui sont susceptibles d’exister dans le Code du travail, c’est à la fois le RGPD et la loi française de protection des données.

Quel est le périmètre d’application du RGPD en matière de ressources humaines ? 

Le périmètre d’application du RGPD est très large, puisque le RGPD vise à protéger l’intégralité des informations qui concernent les personnes physiques, et donc les salariés. Il peut s’agir d’un progiciel de gestion RH, mais il peut aussi s’agir d’un simple tableau Excel.

Dès lors que des informations sur un salarié sont enregistrées (ce qu’on appelle des données personnelles), qui permettent d’identifier ces personnes de manière directe, un nom, une photographie, mais aussi indirecte, comme un numéro d’identification, un matricule, des traces d’identification dans un système d’information… l’employeur doit respecter un certain nombre de règles,. 

Quels sont les enjeux du RGPD pour les RH ? 

Le respect du RGPD est d’autant de plus en plus associés à différents risques :   

  • Le risque de contentieux, les personnes concernées, les salariés comme les candidats, sont, de plus, sensibilisées aux règles qui protègent leur vie privée et leurs données, et que, du coup, ils sont évidemment plus susceptibles d’invoquer ces règles. 
  • le risque de non-conformité n’a jamais été aussi important. On a entendu parler dans la presse de failles de sécurité, des données personnelles de clients, de salariés qui ont été hackées. Ça, c’est un manquement au RGPD, ça peut mettre en risque le responsable des traitements, l’employeur par exemple.
  • le risque d’image avec la mauvaise publicité qu’on pourrait faire sur un responsable de traitement si on indique que celui-ci ne respecte pas la vie privée de ses clients ou de ses salariés.

Quelle est l’incidence de la protection des données personnelles en droit du travail ? 

La jurisprudence sociale s’est beaucoup développée en matière de protection des données personnelles. Beaucoup de salariés n’hésitent plus à invoquer les dispositions de protection des données lorsqu’ils font l’objet, par exemple, d’une sanction disciplinaire, d’un licenciement, pour contester cette décision.

Depuis l’adoption du RGPD, le régulateur national, la CNIL, peut prononcer des amendes à hauteur de plusieurs millions d’euros à l’encontre d’un responsable de traitement, d’un employeur par exemple, qui ne respecterait pas les dispositions du RGPD.

Quelles sont les obligations qu’un employeur doit respecter en matière de protection des données ?

Il n’y a plus, aujourd’hui, de déclarations à faire à la CNIL, en revanche les obligations de conformités sont nombreuses. 

L’obligation principale, c’est ce qu’on appelle l’obligation de documenter la conformité. C’est-à-dire de tenir à la disposition de la CNIL ou de l’autorité judiciaire en cas de contrôle une documentation écrite qui va justifier que lorsqu’un traitement donné aura été mis en œuvre dans l’entreprise ou dans l’administration, ce traitement aura été mis en œuvre en respectant les principes du RGPD et cela devra être écrit dans un certain nombre de documents : 

  • registre des traitements : Que désigne le registre des traitements RH ? L’employeur doit tenir à jour de manière très formalisée un listing de l’ensemble des traitements de données qui sont mis en œuvre et, dans ce listing, chaque fiche relative à un traitement doit décrire ce à quoi sert le traitement, qui a accès aux données, quelles sont les mesures de sécurité…
  • études d’impact : Ce sont des études de faisabilité qui vont à la fois identifier les risques en matière de vie privée par rapport à un projet et déterminer par écrit les mesures de protection qui sont définies. Par exemple, lors de la mise en place d’un dispositif de contrôle individuel d’activité…
  • « Privacy by Design », c’est le processus qui vise à intégrer la protection des données au stade de la conception technique d’un outil informatique, la réalisation d’opérations de formation ou de sensibilisation du personnel…

Il faut aussi désigner un délégué à la protection des données. C’est un référent interne qui va coordonner les actions de nature juridique, technique ou organisationnelle pour, justement, constituer cette documentation de la conformité et garantir que le RGPD est respecté.

Quelles sont les règles à respecter lors de la mise en place d’un nouveau processus RH ? 

Au-delà de la documentation de la conformité, évidemment, l’objectif, c’est de respecter des règles de fond. L’obligation de proportionnalité interdit par exemple de mettre en œuvre un dispositif de vidéosurveillance dans tous types de locaux dans l’entreprise et dans tous types de situations.

En effet, la CNIL a défini une doctrine dans laquelle elle interdit notamment la mise en œuvre de dispositifs dans les salles de pause ou dans les toilettes. De la même manière, elle interdit que ces dispositifs, sauf exceptions, puissent conduire à une surveillance individualisée et permanente d’un salarié.

Ils existent de nombreux autres principes comme l’obligation de sécurité, d’assurer et de garantir la confidentialité et l’intégralité des données qui sont collectées sur un salarié. Il faut également définir des durées de conservation limitées et mettre en place des politiques d’archivage. En tant que responsable de traitement, la DRH n’a pas le le droit de conserver, pour des durées illimitées, toutes les  informations sur les salariés.

Quelles sont les droits des salariés dans le cadre de traitements de données personnelles par  les RH ? 

Les salariés bénéficient d’un certain nombre de droits sur les données et leurs traitements par l’entreprise. En matière de données RH, on doit s’assurer systématiquement de l’information préalable des salariés par écrit. L’information sur les traitements mis en œuvre et les conditions de collecte et d’utilisation des données personnelles est à la fois individuelle et collective auprès des instances représentatives du personnel. Les salariés disposent d’un droit d’accéder aux données qui les concernent, de demander, dans certains cas, à ce que ces données soient effacées. Enfin, le RGPD a consacré un nouveau droit, qui pour l’instant est un peu théorique, qu’on appelle le droit à la portabilité, qui est le droit pour une personne fichée d’encapsuler les données qui la concernent pour les porter auprès d’un tiers.

On pourrait imaginer un salarié qui change d’entreprise et qui demanderait à ce que toutes ses données de son dossier RH soient portées auprès d’un autre employeur.

Est-ce qu’il existe des traitements interdits dans le domaine des RH ? 

Le RGPD prévoit que certaines typologies de données ne peuvent pas être collectées ou transférées de données en dehors de l’Union européenne. C’est notamment le cas des données sensibles. Sauf exceptions limitées, l’employeur n’a pas à collecter des informations, par exemple, sur la santé ou sur la vie intime d’un salarié, sur son origine ethnique, sur ses convictions religieuses, politiques, syndicales, philosophiques.

Qui contrôle la réglementation sur les données personnelles ?

C’est la CNIL mais aussi le Comité européen à la protection des données. Depuis l’adoption du RGPD, il s’agit d’une sorte de super-CNIL au niveau européen qui, dans certains cas, a la possibilité de prendre des décisions contraignantes vis-à-vis des autorités nationales de protection des données. Toutes les décisions de la CNIL sont susceptibles de faire l’objet d’un recours devant le Conseil d’État.

La jurisprudence en droit du travail s’est également beaucoup développée au niveau français, qu’il s’agisse de la jurisprudence judiciaire, sur le plan pénal, sur le plan civil, sur le plan prud’homal, mais également la jurisprudence administrative.

Protection des données à caractère personnel – Avocat en droit du travail et du numérique

Avocat au barreau de Paris et Docteur en droit du travail, Maître Yann-Maël LARHER met ses compétences au service de ses clients dans les domaines du Droit du travail et social, de la liberté d’expression en ligne et du Droit des nouvelles technologies, de l’informatique et de la communication. Il a publié « Le droit du travail à l’heure du numérique » (2021) aux éditions Nuvis. 

PRENDRE CONTACT

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.