Le règlement général de l’Union européenne sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018. Céline Dumont Bauer, présidente du groupe de travail Ressources Humaines d’Absoluce, explique comment ces dispositions, directement applicables en droit français, impacteront toutes les entreprises quelles que soient leurs tailles, à partir du moment où elles traitent des données appartenant à un citoyen européen.
L’objectif de ce RGPD est de garantir aux individus la sécurité de leurs données personnelles, notamment celles détenues par des tiers (entreprises, organismes, etc).
Les services RH directement concernés
En effet, les services RH sont amenés à collecter un grand nombre de renseignements de données permettant d’établir la paie : noms, prénoms, numéros de sécurité sociale, adresse mais peut-être aussi : arrêts maladie, photos, vidéo-surveillance, données de géolocalisation… Autant de données dont le droit à l’accès, à la rectification et à l’oubli va devoir être garanti, sans quoi les sanctions de la CNIL pourront être sévères (10 à 20 millions d’euros ou 2 à 4 % du chiffre d’affaires mondial).
Vigilance accrue pour les données sensibles
Les données dites « sensibles » doivent être hautement sécurisées. Il s’agit notamment des informations détenues et faisant « apparaître, directement ou indirectement : les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou relatives à la santé ou à la vie sexuelle de celles-ci » (source CNIL).
D’autres données sont également considérées comme étant sensibles comme, par exemple, les données comportant des appréciations sur les difficultés sociales des personnes ou encore les données comprenant le numéro de sécurité sociale d’un individu.
Que devez-vous faire ?
- Désigner une personne pilote, autrement appelée « Data Protection Officer» (DPO) qui sera la personne responsable de la protection des données. Il s’agira pour ce DPO de suivre le registre des traitements et d’assurer une mission d’information, de conseil et de contrôle interne.
- Dresser un état précis des données en possession de l’entreprise et des données confiées à des sous-traitants. En effet, dans le cadre du RGPD, l’entreprise devra s’assurer que ses prestataires respectent bien eux-mêmes cette réglementation (attestation de conformité par exemple).
- Se poser les bonnes questions : les données collectées sont-elles nécessaires à la réalisation de la mission ? Quelle est la finalité de ce stockage ? Où sont-elles conservées ? Pendant combien de temps ? Quelles sont les mesures de protection mises en œuvre ?
- Mettre en place des procédures internes visant à en garantir la protection, et surtout documenter les différentes étapes de la mise en conformité. Rappelons, en effet, qu’en cas de litige ou en cas de contrôle, ce sera à l’entreprise de prouver qu’elle a fait le nécessaire pour respecter la réglementation européenne.
La mise en œuvre du Règlement Général sur la Protection des Données personnelles doit être abordé avec méthode, il est important de s’en saisir dès à présent et au besoin, de vous faire accompagner dans vos démarches.