Le RGPD dans le cadre des relations de travail, vecteur possible de stratégie sociale

rgpd-relations-travail

Près d’un an après l’entrée en vigueur du règlement européen relatif à la protection des données personnelles (RGPD UE, 2016/679) du 27 avril 2016, force est de constater le nombre croissant de plaintes déposées à la CNIL sur la base de ses dispositions par des salariés contre des entreprises.

L’usage et le stockage des données personnelles découlant des relations de travail suscitent de nombreuses réactions et constituent un enjeu majeur dans le cadre du déploiement du RGPD au sein des entités concernées.

En effet, alors que le RGPD concerne toutes les étapes du cycle RH (de la candidature au départ du salarié de l’entreprise), la responsabilité juridique de l’employeur relative aux traitements est majeure puisqu’en l’absence de consultation de la CNIL avant mise en œuvre de ces derniers, il doit garantir une protection effective des données personnelles dans les opérations mises en œuvre de leur collecte jusqu’à leur destruction.

En cas de contrôle ou d’action en justice, l’employeur doit être en mesure de démontrer qu’il respecte l’ensemble des principes découlant du RGPD[1].

Pour mémoire, les données recueillies doivent notamment être réduites au minimum et leur traitement proportionné à la finalité de leur collecte.

Cette responsabilité importante pèse naturellement sur les services RH qui mènent actuellement un travail dont la portée peut s’avérer particulièrement stratégique.

Au-delà des contraintes, cette période laborieuse de mise en conformité peut constituer une occasion de redéfinir les processus RH afin de les optimiser (réduction du nombre de documents conservés pour une durée moindre, espace de stockage informatique ou d’archivage papier optimisé, etc…), les automatiser (en supprimant automatiquement les données anciennes) et les sécuriser.

De la sorte, les flux toujours plus nombreux de données personnelles seront facilités et mieux gérés au profit des salariés et de l’entreprise elle-même dès lors que les actions de mise en conformité ont principalement pour objet :

  • la durée de conservation des données personnelles ;
  • l’information des salariés des traitements mis en œuvre ;
  • la gestion des relations avec les partenaires extérieurs des RH (prestataires paie, cabinets de recrutement, etc…) lesquels doivent être impliqués dans le processus de conformité : signature de contrats de sous-traitance intégrant les exigences du RGPD, certifiant le respect par les sous-traitants du RGPD, définissant précisément les responsabilités de chacun (RT et ST) ;
  • la sécurisation des données traitées et leur confidentialité (par ex : gérer informatiquement les habilitations d’accès aux données).

A cet effet, il est nécessaire de prendre les mesures adéquates correspondant à :

  • la mise en place, le cas échéant, d’un Délégué à la Protection des Données doté d’une fiche de poste permettant de fixer clairement le contenu et les contours de ses missions[2], étant précisé que ce dernier bénéficie d’une protection qui n’est pas celle conférée aux élus du personnel[3] ;
  • la rédaction d’un engagement de confidentialité des salariés manipulant des données sensibles ;
  • la gestion et sécurisation des contrats de sous-traitance de données personnelles avec des prestataires en matière de recrutement utilisant des méthodes de profilage, notamment en insérant des clauses spécifiques dans les dits contrats ;
  • la réalisation d’une analyse d’impact pour des traitements susceptible d’entraîner un risque élevé pour les droits et libertés des salariés[4].

Le déploiement pédagogique de ces outils est indéniablement de nature à accroître la qualité des relations dans et hors de l’entreprise, facteur de confiance et de développement d’une image positive pour celle-ci.

Si la responsabilité de l’employeur est réelle, le meilleur moyen de l’assumer pleinement est, en stratégie, d’impliquer les salariés, les organisations syndicales représentatives et les représentants du personnel.

En effet, la gestion de la responsabilité de l’employeur peut être optimisée en impliquant réellement les salariés, les organisations syndicales et les représentants du personnel à travers la formation et la négociation collective.

Précisément, le RGPD peut être cause et objet de dialogue social pouvant par exemple se décliner à travers l’élaboration :

  • d’un règlement intérieur[5] induisant l’information – consultation des instances représentatives du personnel ;
  • d’une charte informatique et du contrôle de l’utilisation des outils informatiques par les salariés ;
  • d’un accord relatif à la transmission de données personnelles entre la société et le CSE.

Ce faisant, l’obligation d’informer et consulter les instances représentatives du personnel continue d’incomber à l’employeur, préalablement à la mise en œuvre de projet de déploiement de mesures impactant notamment les conditions de travail, les techniques d’aide au recrutement, les outils de traitements automatisés de gestion du personnel ou encore les moyens et techniques de contrôle de l’activité des salariés.

En procédant de la sorte, l’employeur dûment conseillé augmentera in fine sa capacité à exercer ses responsabilités en matière de RGPD et réduira ainsi les risques d’actions judiciaires collectives ou de plaintes individuelles auprès de la CNIL pour violation du RGPD[6].

Me Benoit Nicolardot


[1] Article 24 du RGPD posant les principes de protection by design/by default et d’accountability.

[2] Pour rappel, l’entreprise doit garantir s’il s’agit de son salarié et nonobstant le lien au DPD  doit exercer ses fonctions es-qualités de façon totalement indépendante.

[3] Une réponse ministérielle récente prévient qu’il est interdit de sanctionner un salarié délégué à la protection des données en raison de l’exercice de ses fonctions. Toutefois, le DPD ne bénéficie pas du statut protecteur conféré aux élus du personnel et aux délégués syndicaux. Cf Rép. Raynal n°02896, JO 7 février 2019, Sénat quest. P.712

[4] Délib.CNIL n°2018-326 et 2018-327, JO 6 novembre 2018. Aux termes de la 2ème délibération précitée, la CNIL une liste (non limitative) de 14 types d’opération de traitements pour lesquels une analyse d’impact est requise. En matière de RH, la CNIL identifie notamment 3 types de traitements (établissant des profils de personnes physiques à des fins de gestion de RH, ayant pour finalité de surveiller de façon constante l’activité des salariés concernés, ayant pour objet la gestion des alertes et des signalements en matière professionnelle.

Par ailleurs, la CNIL a indiqué que ne nécessitaient pas d’analyse d’impact les traitements : répondant au respect d’une obligation légale ou nécessaires à l’exécution d’une mission de service public, ou encore les traitements dont la nature, la portée, le contexte et les finalités sont très similaires à un traitement pour lequel une analyse d’impact a été menée, ou enfin ne présentant pas un risque élevé.

[5] Il s’agira par exemple de traiter dans le cadre du règlement intérieur de contrôle des accès aux locaux, vidéosurveillance, géolocalisation, usage du téléphone, utilisation de badges, code de conduite, contrôle des horaires de travail etc…

[6] Les salariés disposent de la possibilité d’agir pour faire cesser une situation illégale ou pour obtenir une indemnisation, et ce dans un contexte où les demandes accessoires devant les conseils de prud’hommes se développement eu égard à la réforme prud’homale issue du décret n°2016-660 du 20 mai 2016.