LinkedIn Google Play Android Instagram AppStore

Nos publications

Depuis le 1er juin 2021 retrouvez toutes nos actualités juridiques sur le site news actance dédié à nos publications :
www.news-actanceavocats.com

Observer, analyser, approfondir, informer, transmettre…
Le Droit Social au service de ceux qui le pratiquent.

Accueil

›

Nos publications

›

Actualité législative ou réglementaire

›

Incidences pratiques de l'entrée en application du RGPD en matière de ressources humaines (Réglement UE 2016/679 du 27 avril 2016)

Incidences pratiques de l'entrée en application du RGPD en matière de ressources humaines (Réglement UE 2016/679 du 27 avril 2016)

11/01/2018

Pour s’adapter aux nouvelles réalités du numérique, l’Union Européenne (UE) a adopté le 27 avril 2016 le Règlement Général sur la Protection des Données personnelles (RGPD). Les entreprises de l’UE devront respecter les règles posées par le RGPD dès le 25 mai 2018, puisque les règlements européens sont d’applicabilité directe. Un projet de loi a par ailleurs été présenté au Conseil des Ministres le 13 décembre 2017 pour adapter la législation française au RGPD. L’entrée en application du RGPD aura de nombreuses conséquences sur la vie des entreprises, notamment en matière de ressources humaines.

Une responsabilisation des entreprises…

Le RPGD consacre un changement complet de logique en ce qui concerne la protection des données personnelles, en mettant l’accent sur la responsabilisation des entreprises (principe d’« accountability »).

Ce changement de logique se traduit par:

la suppression de la plupart des formalités déclaratoires auprès de la CNIL;
le remplacement de ces formalités par des actions internes à l’entreprise comprenant notamment la tenue d’un registre des activités de traitements mis en œuvre dans l’entreprise et la réalisation, dans certains cas, d’une analyse d’impact.

...asociée à des sanctions renforcées

Le RGPD renforce les sanctions encourues par les entreprises en cas de non respect des règles sur la protection des données personnelles.

Ces sanctions pourront atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.

Il est donc nécessaire de profiter des prochains mois pour se mettre en conformité avec le RGPD.

Comment procèder pour préparer l'entrée en application du RGPD

La CNIL a publié un guide recensant 6 étapes qui permettront aux entreprises de se préparer à l’entrée en application du RGPD:

la désignation du Délégué à la Protection des données (voir page suivante)
un recensement des différents traitements de données personnelles mis en œuvre dans l’entreprise
- au niveau RH, il peut notamment s’agir des systèmes de badgeage, de la gestion des recrutements et de la paie, de l’organisation des élections professionnelles, etc…
la priorisation des actions à mener à l’aide du registre des activités de traitement.
la réalisation d’une étude d’impact sur la protection des données pour les traitements de données personnelles qui ont été identifiés comme étant susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées.
l’organisation des processus internes, notamment pour traiter les réclamations et demandes et anticiper les violations de données.
la documentation de la conformité.

Obligation de désigner du Délégué à la Protection des Données (DPD) pour certaines entreprises

Le DPD aura pour mission de contrôler le respect du RGPD dans l’entreprise et de coopérer avec la CNIL.

Sa désignation est obligatoire, quel que soit l’effectif de l’entreprise, si l’entreprise rentre dans un des 3 cas suivants:

Elle est une autorité ou un organisme public;
Ses activités de base l’amènent à réaliser un suivi régulier et systématique des personnes à grande échelle;
Ses activités de base l’amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Le DPD peut être:

Interne ou externe à l’entreprise;
Mutualisé entre plusieurs entreprises, sous condition.

La désignation du DPD doit être anticipée et organisée dès aujourd’hui.

Il convient donc de mener aujourd’hui une analyse approfondie pour vérifier si l’entreprise rentre dans un des 3 cas susvisés et d’en garder une trace écrite.

La mise en place d’un registre des activités de traitement

Définition: il s’agit d’un document qui doit comporter les informations permettant de décrire l’ensemble des traitements de données personnelles réalisés par l’entreprise.

Une obligation de mise en place à très large spectre: le RGPD impose la mise en place d’un registre:

Dans les entreprises de plus de 250 salariés;
Dans les entreprises de moins de 250 salariés sous certaines conditions, et notamment lorsque l’entreprise réalise un traitement de données personnelles de manière habituelle.

La quasi-totalité des entreprises traitent de manière habituelle des données personnelles (gestion du personnel, par exemple) et devront mettre en place un registre.

Contenu: le registre doit comprendre l’ensemble des traitements de données personnelles mis en œuvre par l’entreprise. Ceci signifie qu’il doit comprendre:

tous les traitements qui ont déjà fait l’objet de déclarations auprès de la CNIL
tous les traitements qui bénéficiaient jusqu’ici de dispense de déclaration (ex: traitement de gestion de la paie)

Un contrôle possible: Le registre doit être tenu à disposition de la CNIL.

Quand faut-il réaliser une étude d’impact sur la vie privée des traitements?

Pour certains traitements, la seule inscription au registre des activités de traitement ne sera pas suffisante.

Les traitements visés sont ceux susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Exemples de traitements concernés:

Traitement de données sensibles relatives à l’origine raciale ou ethnique ou aux opinions politiques et religieuses;
Profilage;
Géolocalisation.

Préalablement à la mise en œuvre de ces traitements, le DPD ou, à défaut, l’entreprise doit réaliser une étude d’impact sur la vie privée.

Un logiciel est mis à disposition des entreprises par la CNIL pour réaliser ce type d’étude.

Si l’étude révèle un risque avéré, le DPD devra consulter la CNIL avant la mise en œuvre du traitement et la CNIL pourra s’opposer à ce dernier.

Adapter ses procédures internes

Les prochains mois doivent également être mis à profit pour:

Revoir les procédures internes afin de garantir la sécurité des données personnelles:

Le RGPD impose aux entreprises de:

mettre en œuvre des mesures « techniques et organisationnelles » garantissant un niveau de sécurité adapté pour les données à caractère personnel.
notifier à la CNIL une faille de sécurité dans les 72h.

Nécessité de revoir les procédures internes pour garantir la sécurité et faire remonter les failles de sécurité rapidement.

Se tenir informé de la publication de codes de conduite ou de certifications:

Codes de conduite: les codes de conduites seront élaborés par des associations ou organisations d’entreprise et permettront aux entreprises y adhérant de se conformer plus facilement au RGPD.
Certifications: Les entreprises pourront obtenir des certifications délivrées par la CNIL pour 3 ans maximum.

La CNIL et certaines organisations syndicales de branche travaillent d’ores et déjà sur des codes de conduite et certifications.

Actualité précédente Retour à la liste Actualité suivante

Incidences pratiques de l'entrée en application du RGPD en matière de ressources humaines (Réglement UE 2016/679 du 27 avril 2016)

Les actualités qui pourraient vous intéresser

La réforme de la justice prud'homale, entre célérité et complexité

Comment mettre en place le Droit à la déconnexion?

L'anticipation du transfert de personnel

La Loi « RANA PLAZA » ou le devoir de vigilance des sociétés mères et donneuses d'ordre envers leurs filiales et sous-traitants dans le monde

Le détachement des fonctionnaires au sein d’entités de droit privé

« La class action » à la française arrive dans le droit du travail

Loi Sapin II : Un plan anticorruption pour le 11 juin 2017 !

Le droit à la déconnexion

Les modes alternatifs de réorganisation de l’entreprise

Le principe d'égalité de traitement dans le cadre d'un plan de sauvegarde de l'emploi

RSE : La nouvelle « déclaration de performance extra-financière »

Les dispositions relatives à l'encadrement des délais de consultation du CE sont conformes à la constitution

Réforme du Code du travail : première analyse des ordonnances

Le projet d’ordonnance relatif au renforcement de la négociation collective

KEY CHANGES IN FRENCH LABOR RULES

Le projet d’ordonnance relatif à la prévisibilité et la sécurisation des relations de travail

Le projet d’ordonnance : Les mesures relatives au licenciement

Négociation collective avec les DS où en est-on ?

Projet d’ordonnance : la fusion des instances représentatives du personnel

Ordonnances Macron : les évolutions majeures

Ordonnance Macron : le télétravail

Ordonnance Macron : Impact sur les délais de prescription des actions portant sur l’exécution et la rupture du contrat de travail

Comité social et économique : 2 projets de décret

LinkedIn/Viadeo : la problématique de la communication digitale professionnelle

Gestion du personnel et dématérialisation

La réforme de l’assurance chômage

Les précisions pouvant être apportées par l'employeur sur les motifs d'un licenciement notifié

Composition des listes électorales : La cour de cassation impose aux organisations syndicales de mettre en oeuvre la partie de façon concrète

La protection des données personnelles nouvelle formule est lancée

Un protocole de fin de conflit peut instaurer une différence de traitement entre salariés d’une même entreprise affectés à des établissements distincts

Projet de la Loi Avenir Professionnel et monétisation du Compte Personnel de Formation (CPF)

Indemnités versées dans le cadre d’une rupture conventionnelle collective ou d’un congé de mobilité : Exonération de forfait social

RENFORCEMENT DES OBLIGATIONS EN MATIERE DE LUTTE CONTRE LE HARCELEMENT SEXUEL

APPRENTISSAGE : simplification et flexibilisation du dispositif

Les réponses apportées par le Président au mouvement « des gilets jaunes »

Prime exceptionnelle : contenu du projet de loi

Heures supplémentaires : contenu du projet de loi

Nouvelle version du texte relatif à la prime de fin d’année

Version définitive du texte relatif à la prime de pouvoir d’achat

Suppression des écarts de rémunération entre les femmes et les hommes : Parution du décret

Egalité entre les femmes et les hommes : Où en est-on?

Suppression des écarts de rémunération entre les femmes et les hommes : les nouvelles précisions du ministère

Avez-vous désigné vos référents harcèlement sexuel – agissements sexistes?

Réforme de l’Assurance chômage : quels impacts pour les demandeurs d’emplois et les entreprises ?

Renforcement de la protection des lanceurs d'alerte

Réforme des retraites : où en est-on ?

Droit du Travail : « La journée de deuil national n’est pas fériée »

Appel à la grève du 5 décembre 2019 : de la gestion des absences au télétravail…que faire?

Coronavirus : publication de 22 Questions/Réponses opérationnelles et concrètes à disposition des entreprises

Arrêté du 14 mars 2020 portant diverses mesures relatives à la lutte contre la propagation du virus covid-19 modifié par plusieurs arrêtés

Décret n° 2020-260 du 16 mars 2020 portant réglementation des déplacements dans le cadre de la lutte contre la propagation du virus covid-19 complété par un décret n° 2020-279 du 19 mars 2020

COVID-19 : les questions autour du recours à l’activité partielle

Nouveaux délais d’information consultation du CSE

Covid-19 : Une nécessaire clarification du périmètre de l’obligation de sécurité

Covid-19 : risque de reconnaissance du caractère professionnel de l’accident ou de la maladie

Activité partielle : où en sommes nous ?

Covid-19 : reconnue maladie professionnelle mais sous conditions restrictives

Modalités financières de l’activité partielle : le cap est fixé jusqu’au 30 juin 2021