4 - Impact RH du RGPD

Le RGPD ne date pas de 2018. En réalité, le règlement a été adopté le 14 avril 2016 par le Parlement européen et publié le 4 mai 2016 au Journal officiel de l’Union européenne avec une entrée en vigueur fixée au 25 mai 2018 (règlt UE 2016/679 du 27 avril 2016, JOUE 4 mai 2016). Dès le 25 janvier 2012, la Commission Européenne avait présenté un vaste projet de mise à jour du cadre existant avec une proposition de règlement ayant pour vocation de remplacer la directive-cadre de 1995 (95/46/CE).

Les 28 États de l’Union Européenne ont donc bénéficié de deux ans pour appréhender ces dispositions avec comme axes directeurs :

Au sein des premières lignes du texte européen il est fait référence à l'article 8, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne et à l'article 16, paragraphe 1, du traité sur le fonctionnement de l'Union européenne garantissant à toute personne un droit à la protection des données à caractère personnel la concernant.

Le règlement va plus loin en affirmant que « le traitement des données à caractère personnel devrait être conçu pour servir l'humanité ». Le cadre est fixé et les mots d’ordre sont : licéité, loyauté et transparence.

En France, un projet de loi a été discuté au Parlement. Il a été adopté par l’Assemblée nationale en lecture définitive le 14 mai 2018 et transmis au Conseil constitutionnel qui l’a validé pour les points qui nous intéressent (loi 2018-493 du 20 juin 2018 relative à la protection des données personnelles, JO du 21). Cela étant, une ordonnance à venir réécrira la loi informatique et libertés dans son ensemble (loi 2018-493 du 20 juin 2018, art. 32).

Les parlementaires ont obtenu, lors des discussions, d'inclure dans le texte la possibilité, pour certaines associations et syndicats, d'exercer une action de groupe, avec ou sans mandat, pour obtenir la réparation des préjudices matériels et moraux subis par les personnes concernées par la violation de leurs données personnelles par un responsable de traitement ou son sous-traitant (loi 2018-493 du 20 juin 2018, art. 25).

La CNIL sort renforcée du dispositif français. En effet, la commission va devenir un organe de certification à même d’agréer et de certifier des organismes ayant pour activité le traitement des données personnelles.

Le rôle de gendarme de la CNIL est également accru. Les agents de la CNIL pourront comme auparavant mener des contrôles au sein des entreprises mettant en œuvre un traitement de données à caractère personnel mais le secret ne pourra pas leur être opposé sauf exceptions (ex. : parmi ces exceptions, figurent les informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client) (loi 2018-493 du 20 juin 2018, art. 5 modifiant art. 44 de la loi 78-17).

Par ailleurs, un employeur pourra continuer à mettre en œuvre des traitements de données biométriques (ADN, empreinte digitale, etc.) mais ils devront être « strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires » et conformes aux règlements types qui seront élaborés par la CNIL (loi 2018-493 du 20 juin 2018, art. 8).

Le RGPD reprend le principe déjà connu de finalité (loi 78-17 du 6 janvier 1978, art. 6 ; règlt UE 2016/679 du 27 avril 2016, art. 5). Ainsi, les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités. En clair, dès lors que la finalité ultérieure des données ne correspond plus à la finalité initiale, il s’agira d’un contournement.

Le principe de finalité entraîne de facto le respect des principes de proportionnalité et pertinence.

Il en résulte que les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé, explicite et légitime. Les données doivent donc être pertinentes, adéquates et limitées aux besoins.

En conséquence de quoi, les entités amenées à traiter des données à caractère personnel doivent les mettre à jour et mettre en place un système de suivi des données.

Pour une illustration RH, cela peut vouloir dire que l’employeur doit actualiser, mettre à jour et donc supprimer les CV qu’il aurait pu récolter dans le cadre d’une nouvelle embauche, au titre du droit à l’effacement, variante du droit à l’oubli, consacré au sein du RGPD (voir § 4-7).

En découle un autre principe, celui de la limitation de la conservation des données. Les données ne peuvent être conservées de façon indéfinie dans les fichiers informatiques et un délai de conservation doit donc être fixé.

En outre, le RGPD impose que les données soient traitées de façon à garantir une sécurité appropriée et à éviter leur divulgation au moyen de mesures techniques ou organisationnelles appropriées (règlt UE 2016/679 du 27 avril 2016, art. 5).

Par ailleurs, le responsable du traitement doit informer les personnes dont les données personnelles sont collectées sur divers points, en particulier sur la finalité du traitement (loi 78-17 du 6 janvier 1978, art. 32 ; règlt UE 2016/679 du 27 avril 2016, art. 13).

Enfin, le principe de « responsabilité » (« d’accountability ») est sans doute le symbole du RGPD et surtout du nouveau rôle des entités amenées à gérer des données à caractère personnel. Il consiste à mettre en œuvre des mécanismes et des procédures internes permettant la protection des données à caractère personnel (règlt UE 2016/679 du 27 avril 2016, art. 24). Pour répondre à ce principe, l’employeur va devoir avoir un rôle actif et mettre en place une réelle traçabilité des données et se constituer des preuves pour démontrer qu’il respecte ses dispositions.

Le premier point là encore assez symptomatique de la nouvelle philosophie insufflée par le RGPD est le renforcement du droit à l’information. Le responsable du traitement doit fournir à la personne dont les données personnelles sont collectées les informations suivantes (règlt UE 2016/679 du 27 avril 2016, art. 13) :

Mais les informations à fournir aux personnes concernées ne s’arrêtent pas là.

En effet, la structure doit informer la personne de son intention ou non de transférer les données dans un État hors Union européenne.

La durée de conservation des données doit être également communiquée.

Surtout, la personne concernée doit être informée des droits qu’elle peut exercer auprès du responsable du traitement : droit d’accès à ses données personnelles, de demander leur rectification, leur effacement, la limitation du traitement en cause, droit d’opposition au traitement et droit à la portabilité des données. Autant de droits qui transforment le citoyen et le salarié en véritables acteurs de la protection de leurs données à caractère personnel.

La personne doit également être informée de son droit d’introduire une réclamation auprès de la CNIL.

Le texte impose par ailleurs au responsable de traitement de répondre dans un délai d’un mois à toute demande formulée. Le responsable garde la possibilité de refuser la communication des éléments demandés à la condition de motiver son refus (règlt UE 2016/679 du 27 avril 2016, art. 12).

La notion de « gouvernance des données » (ou « data governance ») se retrouve au sein du RGPD. Il faut l’appréhender d’une manière globale comme s’appliquant à l’ensemble des secteurs d’une entreprise. Le RGPD dans sa logique de rendre concrète la protection des données vise la gouvernance des données pour accroître la mise en place de process au sein des structures.

Pour que le citoyen ou le salarié deviennent acteurs du traitement de leurs données, l’employeur ou l’entreprise ne doivent pas subir cette philosophie. Et les meilleurs moyens d’anticiper les demandes se retrouvent directement au sein du RGPD avec d’une part la mise en place d’un registre et d’autre part l’obligation d’avoir un « délégué à la protection des données » (voir §§ 4-8 et 4-17).

La mise en place d’un registre a pour but de recenser de façon précise les traitements de données personnelles mis en œuvre. Il est le garant du suivi et de la preuve du traitement des données. L’article 30 du RGPD prévoit ainsi que, dans les entreprises d'au moins 250 salariés, l'employeur devra tenir un registre interne des traitements de données à caractère personnel qui devra contenir les dispositions suivantes :

Il résulte de ces dispositions que les services RH devront tenir un registre de manière systématique en raison de la finalité des données traitées.

Le délégué à la protection des données vient, lui, remplacer le correspondant « informatique et libertés ». Il est obligatoire pour les entreprises qui disposent de traitements relatifs à un « suivi régulier et systématique à grande échelle des personnes concernées » et dans le secteur public. La réglementation européenne ne donne pas de définition de la notion de traitement à grande échelle (règlt UE 2016/679 du 27 avril 2016, art. 37, 38 et 39). La CNIL vise à titre informatif : les compagnies d’assurances ou encore les opérateurs téléphoniques.

Le RGPD prône au sein de son article 35 la notion « d’approche par les risques ». Il s’agit, pour le responsable du traitement, d’effectuer « avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel » lorsque le traitement peut « engendrer un risque élevé pour les droits et libertés des personnes physiques » du fait de sa « nature », de sa « portée », de son « contexte » et de ses « finalités », en particulier en cas de « recours à de nouvelles technologies ».

La CNIL reprend dans son approche du RGPD cette notion en évoquant la nécessité de cartographier les risques qui passe, notamment, par la tenue d’un registre des données à caractère personnel.

L’article 35 du RGPD accorde un sort particulier aux données sensibles c’est-à-dire celles « qui font apparaître, directement ou indirectement les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou la vie sexuelle de celles-ci » (règlt UE 2016/679 du 27 avril 2016, art. 4 et 9).

Le traitement de ces données est autorisé dès lors que la personne concernée donne son consentement exprès. Le traitement de ce type de données fait partie de ceux obligeant le responsable du traitement à conduire une étude d’impact (« Privacy Impact Assessment » ; PIA) complète faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées. En cas de risque jugé élevé, la CNIL doit être consultée avant de mettre en œuvre le traitement (règlt UE 2016/679 du 27 avril 2016, art. 36). Sur son site, la commission met à disposition un logiciel libre PIA. Cet outil doit permettre aux entités concernées d’être en conformité avec le RGPD et de mettre en place des traitements respectueux de la vie privée.

Il s’agit d’un élément important de la réforme. L’employeur a l’obligation de notifier la violation des données (règlt UE 2016/679 du 27 avril 2016, art. 33). La notification doit comporter la nature de la violation des données à caractère personnel ainsi que, si possible les catégories et le nombre approximatif de personnes concernées. L’entité doit communiquer également le nom et les coordonnées du correspondant en charge de la protection des données. Plus encore, dans cette démarche, la structure doit préciser les conséquences de la violation des données et les mesures prises pour remédier à la violation.

Dans la même philosophie que le reste du texte, l’entreprise doit avoir une démarche proactive et le responsable du traitement des données personnelles devra prévenir les personnes concernées par la violation des données à caractère personnel lorsque celle-ci est susceptible d’engendrer un risque élevé pour leurs droits et libertés.

Élément important : l’information doit intervenir dans un délai de 72 heures à compter de la prise de connaissance de la violation. À défaut, le responsable du traitement des données concernées devra justifier son retard auprès de la CNIL.

La nouvelle réglementation présente naturellement une problématique transfrontalière.

Le RGPD, au sein de ses articles 44 et suivants, encadre les transferts de données dans un pays tiers. Il est ainsi prévu que, lorsque le pays présente des garanties de protections des données « adéquates » et que la CNIL a reconnu que le pays assurait une sécurité équivalente, le transfert peut avoir lieu. En l’absence de cette reconnaissance de la commission, l’entité concernée doit démontrer qu’elle met en place des garanties de sécurité suffisantes comme un code de conduite ou des mécanismes de certifications.

Aux États-Unis par exemple, le cadre juridique de la protection des données est fixé par le Privacy Shield qui est un mécanisme d’auto-certification pour les entreprises établies aux États-Unis et qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises basées aux États-Unis (www.cnil.fr).

En matière de preuve, la chambre sociale de la Cour de cassation considérait, avant l’entrée en vigueur du RGPD, que les données personnelles collectées sans déclaration à la CNIL constituaient une preuve illicite (cass. soc. 8 octobre 2014, n° 13-14991, BC V n° 230).

En outre, la CNIL pouvait, et peut toujours, prononcer des sanctions.

Le RGPD instaure des sanctions financières plus lourdes que celles qui étaient jusqu’alors applicables. Celles-ci sont fixées selon l’importance de la violation. Elles peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent du responsable du traitement (ou de son sous-traitant). La loi française reprend ces dispositions (loi 78-17 du 6 janvier 1978, art. 45 à 48 ; loi 2018-493, art. 7).

Enfin, les personnes concernées par le traitement de leurs données à caractère personnel ont le droit à un recours juridictionnel dès lors qu’elles estiment que leurs droits tirés du RGPD ont été violés.

Cela étant, le 25 mai n’a pas été une date couperet pour les sanctions. En effet, dans les premiers mois de mise en œuvre du RGPD, la CNIL distinguera, lors de ses contrôles, deux types d’obligations s’imposant aux professionnels (conférence de presse du 10 avril 2018 de présentation du 38e rapport d’activité 2017 et des enjeux 2018).

D’une part, les principes fondamentaux de la protection des données restant pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.), ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL.

D’autre part, pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (analyses d’impact, etc.), les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les entreprises « vers une bonne compréhension et la mise en œuvre opérationnelle des textes ».

Le salarié est un internaute, un citoyen avec des données personnelles et donc un droit de regard sur ses données. Dans la sphère professionnelle il est amené à divulguer des informations personnelles, des plus simples (celles permettant son identification), à de plus subtiles (comme celles relatives à ses heures d’arrivée et de départ de son lieu de travail). Alors que vise exactement le règlement à travers la notion de « données personnelles » ?

La CNIL sur son site présente les différentes étapes recommandées afin de respecter le RGPD. La première étape repose sur le recensement des données et l’élaboration du registre. Ensuite, elle préconise de prioriser les actions à mener au regard des risques encourus. Enfin, elle recommande de mettre en place des procédures internes permettant le respect du RGPD.

Concrètement et à court terme quelles vont être les conséquences pour un service RH ?

Tout d’abord, le RGPD impose un nouveau principe directeur, le salarié doit savoir ce que l’on fait de ses données. Il en découle une conséquence directe et concrète : l’employeur devra dorénavant recueillir l’accord explicite et formel des salariés pour saisir, stocker et détenir leurs données individuelles. Le texte est précis. Il faut obtenir « un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique et univoque son accord au traitement des données à caractère personnel la concernant ». Cela peut se traduire par un courrier à retourner signé ou la mise en place d’un formulaire à faire remplir par le salarié déjà en poste ou par l’insertion d’une clause dans les nouveaux contrats de travail. Cette dernière peut être formulée suivant le modèle proposé ci-après.

L’article 6 du RGPD et l’article 7 de la loi 78-17 précisent toutefois que cette autorisation n’est pas requise dès lors que le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ou à l’exécution d’un contrat auquel la personne concernée est partie. À titre d’exemples, l’employeur n’aurait pas besoin d’avoir l’accord formel du salarié pour « traiter » son numéro de sécurité sociale (ou numéro NIR), puisque ce numéro est requis pour la déclaration sociale nominative. À l’inverse, cet accord serait indispensable pour recueillir et conserver le diplôme du salarié, hormis le cas particulier des professions réglementées dont l’exercice est subordonné à un diplôme (ex. : pharmacien).

Autre conséquence directe du RGPD : la fin des déclarations préalables auprès de la CNIL. Il s’agit d’un allégement des formalités pour les entreprises qui doivent, cependant, être en capacité de rapporter la preuve qu’elles protègent les données personnelles de leurs salariés en documentant leur conformité en application du RGPD.

L’employeur, conformément aux dispositions de l’article 35 du RGPD, pourra être amené à mettre en place une étude d’impact relative à la protection des données dès lors « qu’existe un risque élevé pour les droits et libertés des personnes physiques » (voir § 4-9).

Parmi les autres changements déjà évoqués qui auront un impact sur les services RH, il faut citer les outils de conformité qui vont permettre à l’entreprise de respecter les principes fixés par le RGPD.

Ainsi, la tenue d’un registre des traitements de données devra être mise en œuvre (voir § 4-8). Dans le cadre des alertes suite aux failles de sécurité révélées, là encore l’entreprise devra mettre en place un dispositif adapté (voir § 4-11).

L’employeur devra également désigner un délégué à la protection des données (DPD, ou DPO pour la version anglaise : Data protection officer, dans la continuité du correspondant informatique et libertés).

Le délégué sera différent du responsable du traitement des données qui pourra être une société spécialisée externe ou une personne de la Direction.

Le texte prévoit que les entreprises ne sont pas dans l’obligation de désigner un délégué, sauf si (règlt UE 2016/679 du 27 avril 2016, art. 37) :

Dès lors, les services RH sont potentiellement directement concernés par la désignation d’un délégué.

Un membre du service des ressources humaines pourra être désigné DPO, en particulier dans les TPE ou PME.

Le RGPD donne quelques indications sur le délégué à la protection des données. Une première assez évidente, le délégué doit avoir des connaissances en droit. En effet, le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (règlt UE 2016/679 du 27 avril 2016, art. 37.5).

Par ailleurs, le texte précise qu’un groupe d'entreprises peut désigner un seul délégué à la protection des données à condition qu'un délégué à la protection des données soit facilement joignable à partir de chaque lieu d'établissement.

Le délégué est chargé de mettre en œuvre la conformité au RGPD au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.

La CNIL préconise que pour garantir l’effectivité de ses missions, le délégué dispose « de qualités professionnelles et de connaissances spécifiques ». Il doit « bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions ».

La question de la gestion du délégué sera importante. Il ne dispose pas de protection particulière et l’employeur devra faire en sorte que son rôle de délégué ne déborde pas sur son activité professionnelle, sauf dans le cas où il s’agit de son activité principale. Plus encore, il faudra éviter tout conflit d’intérêts notamment si le délégué désigné occupe un poste à responsabilité et est lui-même concerné par la collecte des données.

Une distinction est par ailleurs importante à faire, l’article 24.1 du règlement indique que c’est bien le responsable du traitement ou le sous-traitant qui est tenu de s’assurer et d'être en mesure de démontrer que le traitement est effectué conformément à ses dispositions et non le délégué.

L’impact sur les RH se traduit également par les modifications qu’il faudra anticiper sur différents types de documents, par exemple :

Plus largement, les accords (ex. : accord sur la durée du travail) qui évoquent la problématique du cumul vie privée/vie professionnelle ou qui mettent en place un système de contrôle par des badges par exemple nécessiteront que l’employeur s’interroge sur les modalités de gestion des informations à caractère personnel.

L’usage des téléphones portables et des ordinateurs professionnels sera évidemment concerné dès lors que le salarié sera amené à utiliser ses outils pour une autre activité que celle prévue au sein de son contrat de travail.

Les informations relatives aux congés particuliers doivent être appréhendées différemment après le 25 mai 2018. Les justificatifs liés à un congé pris suite à un décès, un mariage ou autre devront subir le même traitement que les autres données personnelles et l’employeur pourra prévoir de supprimer ces éléments de ses fichiers un certain nombre d’années après leur communication.

Au même titre, les données collectées dans le cadre de l’ordre des licenciements afin d’appliquer les critères d’ordre pourront être considérées comme des données sensibles nécessitant une protection particulière.

En d’autres termes, l’employeur devra être vigilant de l’entrée du salarié au sein de l’entreprise jusqu’à sa sortie des effectifs. Le salarié pourra, à son départ, exiger de récupérer ses données personnelles ou les faire transférer à son futur employeur. Un employeur pourrait dès lors prévoir au sein d’une lettre de licenciement la possibilité accordée au salarié de récupérer ses données au nom du droit à la portabilité.

L’entreprise devra être un réel acteur dans la protection des données de ses salariés.

Le concept de « privacy by design » par exemple que l’on retrouve au sein du RGPD impose aux entités de prévoir dès la conception d’un nouvel outil permettant la collecte de données à caractère personnel la garantie d’une protection pleine et entière des données. Au même titre, toute entité amenée à traiter des données personnelles doit pouvoir permettre aux personnes concernées d’avoir rapidement le plus haut niveau de protection possible. Il appartiendra à l’employeur de procéder à un inventaire des supports et des données concernés. Il faudra ensuite insérer au sein des différents documents des mentions relatives à la nouvelle réglementation (voir § 4-18).

Dans le cadre du SIRH, le service RH devra prendre en compte, notamment dans le cadre du renouvellement ou des mises à jour des logiciels, les principes de protections des données évoqués.

L’enjeu de la mise en place du RGPD est important. D’ores et déjà, la présidente de la CNIL, Isabelle Falque-Pierrotin, a indiqué que la commission « jouerait » dans un premier temps la carte de la pédagogie à l’égard des PME et TPE.

Dans cette nouvelle configuration, l’usager d’internet devient un vrai acteur de la protection de ses données. Dans la sphère professionnelle, l’employeur aura pour défis de devoir répondre aux problématiques liées à la protection des données de ses clients, de ses prestataires et de ses salariés.

Le Secrétaire d’État au numérique l’a indiqué, au début du mois de mai, le RGPD est une première étape à l’ère du tout numérique. La faculté d’appréhension des entreprises sera un test grandeur nature avant l’arrivée, ou plutôt, le développement en France du blockchain en entreprise, et pourquoi pas celle du bitcoin pour rémunérer les salariés.