Mise en conformité des traitements de données à caractère personnel des ressources humaines et analyse d’impact

La règlementation du RGPD et le délai de mise en conformité pour les traitements antérieurs

La CNIL a récemment publié des outils permettant aux entreprises et employeurs publics de traiter les données personnelles de leurs collaborateurs conformément au RGPD.

Les données personnelles des collaborateurs sont collectées par l’employeur à l’occasion de la signature et de la conclusion du contrat de travail. Pourtant ces données collectées doivent faire l’objet du respect d’obligations légales afin d’assurer la protection de la vie privée du salarié. Ce dernier doit pouvoir être informé de son droit d’opposition au traitement des données tenant à sa situation particulière (l’employeur pouvant refuser en raison de l’existence du contrat de travail ou d’une obligation légale lui étant imposée, comme par exemple la transmission des données du salarié à l’URSSAF, organisme de mutuelle, etc).

Le règlement nᵒ 2016/679, dit règlement général sur la protection des données (RGPD, ou encore GDPR, de l'anglais General Data Protection Regulation) est la norme européenne de référence en matière de traitement de données à caractère personnel des personnes physiques, identifiantes directement (nom et prénom) ou indirectement (adresse postale ou mail, adresse IP…) par recoupement d’informations (le croisement de bases données n’étant pas forcément sous la maîtrise du responsable de traitement).

La loi informatique et libertés n° 78-17 du 6 janvier 1978 a incorporé le règlement européen dont certaines dispositions sont directement applicables par les Etats membres de l’Union sans loi de transposition.

Applicable depuis le 25 mai 2018, la CNIL a prévu que les organismes lui ayant déclaré régulièrement leurs traitements préalablement à leur mise en œuvre, en conformité avec la loi Informatique et Libertés ancienne version (demande d’autorisation selon les cas, pour les données « sensibles » telles celles à la santé ou aux infractions) avaient trois années pour se mettre en conformité.

La deadline est donc au 24 mai 2021 pour la mise en conformité des traitements anciens, et les actions à entreprendre pour transposer les exigences du RGPD peuvent nécessiter plusieurs jours voire plusieurs mois selon les traitements, en particuliers ceux nécessitant la documentation écrite sous forme d’analyse d’impact…

Les différentes actions de mise en conformité à effectuer en priorité pour les retardataires : analyse d’impact, encadrement contractuel des sous-traitants, information des personnes

Les responsables de traitement doivent donc d’ores et déjà s’emparer des outils tels le référentiel publié par la CNIL destiné à la gestion des ressources humaines, couvrant également la gestion de la paye et les traitements les plus répandus en matière de recrutement.

Ils devront aussi tout particulièrement s’attacher à identifier les traitements de données sensibles ayant fait l’objet d’une autorisation préalable de la CNIL ou d’un engagement de conformité ; ces traitements peuvent continuer à être réalisés, à la condition qu’ils aient été régulièrement été mis en œuvre avant le 25 mai 2018, mais doivent donner lieu à l’analyse d’impact requise par le RGPD.

La CNIL met également à disposition un outil logiciel et documentaire permettant d’établir le rapport de conformité écrit lequel est requis par le RGPD pour chaque traitement à risque.

Cette analyse d’impact passe en revue les différentes obligations du RGPD et documente par écrit si elles ont bien été respectées par le responsable de traitement préalablement à la mise en œuvre du traitement, ou si des actions correctives sont à prévoir ainsi que leur justification.

En effet les obligations sont renforcées par le RGPD à l’égard du responsable de traitement : obligation d’information élargie des personnes sur l’utilisation de leurs données et recueil du consentement préalable le cas échéant, indication de la base juridique du traitement, de la durée de conservation, l’information sur la possibilité de saisir la CNIL en cas d’absence de réponse dans le délai d’un mois à la demande auprès du responsable de traitement de l’exercice de leurs droits…

La nouveauté réside également dans l’encadrement contractuel du sous-traitant de données à caractère personnel, désormais obligatoire, lequel peut être complexifié si ce dernier a son siège hors Union Européenne ; le transfert de données peut être fait sans le savoir par le responsable de traitement ayant recours à un service cloud pour le stockage des données de son entreprise auprès d’un prestataire dont les serveurs sont difficilement localisables (par exemple si le service Cloud est souscrit sur Internet).

Aussi, l’encadrement contractuel des sous-traitants de données par le responsable de traitement sera gage de sécurité juridique mais synonyme de complexité pour les transferts hors UE avec un encadrement contractuel spécifique par adoption de clauses types obligatoires en plus du cadre requis pour le sous-traitant de données à caractère personnel.

La cour de justice de l’union européenne a en effet invalidé le 16 juillet dernier le « Privacy Shield », accord qui permettait jusqu’alors en théorie de s’affranchir de l’encadrement spécifique des transferts de données hors UE si l’entreprise basée aux Etats-Unis destinataire des données dans le cadre de sous-traitance faisait une déclaration d’auto-conformité aux exigences dudit accord.

L’enjeu de la conformité au RGPD au vu des pouvoirs de sanction de la CNIL et en terme d’image

Dans le cas du non-respect de ses obligations, la CNIL peut décider d’une sanction financière allant jusqu’à 4% du chiffre d’affaires mondial de l’entreprise ou 400 millions d’euros, ainsi que la publicité de ladite sanction y compris par l’affichage d’une page sur le site internet de l’entreprise concernée : Google en a fait l’expérience puisqu’elle a eu l’obligation d’indiquer le lien vers la décision de sanction par la CNIL pendant 24h en page d’accueil de son moteur de recherche, et a écopé d’une amende record de 50 000 millions d’euros en raisons du traitement illégal de donnée des internautes ; des entreprises de plus modeste taille se voient également visées par des procédures lancées à l’initiative de salariés portant plainte auprès de la CNIL pour des vidéosurveillances abusives.

Le code pénal prévoit également des sanctions pouvant aller jusqu’à 5 ans de prison et 300 000e d’amende, ce montant quintuplé pour les personnes morales responsables de traitement outre les sanctions spécifiques pouvant aller du « gel » du traitement avec impossibilité pour le responsable de traitement d’en faire usage, jusqu’à la fermeture de l’établissement.

Les salariés ne sont pas la seule source de risque puisque la conformité RGPD devient un enjeu concurrentiel important et gage de fiabilité auprès des clients et plus généralement des citoyens (selon un sondage IFOP en octobre 2019 réalisé pour la CNIL près de 7% des français se disent sensibles au respect de leurs droits informatique et libertés).

Il reste donc exactement moins de 10 mois pour réaliser l’audit des traitements de données à caractère pour l’administration qu’elle soit entreprise, collectivité ou administration, une marge devant être préservée pour effectuer les actions correctives nécessaires.